名簿の売買　顧客情報を購入することの適法性（個人情報保護法の解説）

2017年5月30日に「改正個人情報保護法」が全面施行され，個人情報を取扱う全ての事業者は「個人情報取扱事業者」として個人情報保護法が適用されることになりました。

これは名簿の購入などによって個人情報を取得した企業にも適用されるため，顧客情報の購入を検討している担当者は，個人情報の売買や利用に関する手続・義務・禁止事項などを知らなくてはなりません。

そこで，今回は顧客情報の購入から利用までに関し，個人情報保護法の規定や注意事項などについて解説します。

 

1 個人情報保護法とは

いわゆる個人情報保護法の正式名称は「個人情報の保護に関する法律」です。2003年に制定されてから，情報のデジタルデータ化など時代の変化に合わせて何度か改正され現在に至りました。

個人情報保護法は次に示すように個人情報の利用を制限するものではなく，「保護」と「適正な活用」が主目的となっています。

個人情報保護法の目的は，個人の権利・利益を保護するとともに，個人情報の適正な活用ルールを定め，個人情報を取り扱う事業者の義務・罰則などを定めるものです。そして，個人情報保護法で定める「個人情報」とは，生存する個人に関するもので，次のいずれかに該当する情報です。

• 情報に含まれている氏名，生年月日その他の記述等で特定の個人を識別できるもの
• 個人識別符号が含まれているもの
• 個人識別符号とは
• 個人識別符号とは，特定の個人を識別できる文字，番号，記号その他の符号のうち，次のいずれかに該当し，政令・規則で個別に指定されるものです。
• 身体の一部の特徴をコンピュータのために変換した符号（DNA，顔，虹彩，声紋，歩行の態様，手指の静脈，指紋・掌紋など）
• サービス利用や書類において対象者ごとに割り振られる符号（旅券番号，基礎年金番号，免許証番号，住民票コード，マイナンバー，各種保険証など）

 

2 顧客情報の売買は適法か

国の機関や公共団体などを除く一般の事業者は，個人情報保護法を遵守すれば顧客情報の売買は違法ではありません。

 

個人情報を第三者に提供する際の手続について，事業者が個人情報のデータベース等を第三者に提供する場合には，次の手続が義務付けられています。

（１）原則として事前に本人の同意を得ることが必要となります。

ただし，以下の場合は例外となります。

① 法令に基づく場合

② 本人の同意を得ることが困難で，人の生命・身体・財産の保護，または公衆衛生・児童の健全な育成のため

③ 国や地方公共団体などへ協力する場合

 

（２）オプトアウト手続による第三者への提供する場合もあります。

事業者が第三者に提供する個人情報について，本人の求めがあれば第三者への提供を停止する（オプトアウト）こととしている場合には，次の手続により本人の同意がなくても第三者への提供が可能となります。

以下の①②③④⑤を事前に本人に通知するか，またはウェブページなどで本人が容易に知ることができる状態にし，個人情報保護委員会に届けることが必要となります。

① 第三者への提供を利用目的とすること。

② 第三者に提供される個人データの項目

③ 第三者への提供の方法

④ 本人の求めに応じて個人データの第三者への提供を停止すること。

⑤ 本人の求めを受け付ける方法

 

注意しなければならないのは，人種，信条，社会的身分，病歴，前科など他人に知られると不当な差別や偏見などを受ける可能性がある「要配慮個人情報」については，本人の事前同意のみが第三者提供の原則となります。

 

3 顧客情報を購入する際に守るべきこと

（１）法令で定められた義務

顧客情報を購入すると購入者も「個人情報取扱事業者」となるため，名簿業者などの第三者から個人情報を受け取る際には法令で次の義務が課せられています。顧客情報を購入する際に，以下の2点を確認しなければならない。

・名簿業者の名称，住所，代表者

・名簿業者が個人情報を取得した経緯

 

そして，顧客情報を購入する際に，以下の項目を記録し3年間保管しなければなりません。

• 個人情報の提供を受けた年月日
• 名簿業者の名称，住所，代表者
• 名簿業者が個人情報を取得した経緯
• 当該個人情報によって識別される本人の氏名その他の当該本人を特定するに足りる事項
• 当該個人情報の項目
• オプトアウト手続による第三者提供の場合には，個人情報保護委員会により必要事項が公表されている（オプトアウト手続の届出は個人情報保護委員会のウェブページで確認できます）

 

（２）顧客情報の取得に関する確認

上記のとおり，名簿業者から個人の名簿を購入すること自体は禁止されていませんが，その購入に際しては，適正取得（法第20条第１項）や第三者提供を受ける際の確認・記録義務（法第30条）が適用される点に留意する必要があります。

具体的には，名簿の購入の際，相手方が個人データを取得した経緯などを確認・記録する必要があり，その結果，相手方が不正の手段により個人データを取得したことを知り又は容易に知ることができたにもかかわらず当該個人データを取得する場合，法第20条第１項に違反するおそれがあります。

特に，平成27年改正の施行（平成29年５月30日）以降は，一般的に名簿業者はオプトアウト規定による届出が必要となったため（法第27条第２項及び同条第３項），個人情報保護委員会のホームページ上で，当該名簿業者が届出をしていることを確認する必要があると解されます。

具体的には，以下の義務があるので購入前には必ず確認するようにしましょう。

• 利用目的を具体的に特定しているか
• 特定した利用目的を公表，または本人に通知しているか
• 取得した個人情報を他の目的で利用する場合には本人の同意を得ているか
• 第三者から個人情報の提供を受けるときは，提供者の氏名・住所などの他に，個人情報を取得した経緯を確認し，受領年月日，確認事項等を記録し３年間間保存しているか
• 本人の同意が必ず必要な「要配慮個人情報」は含まれていないか

 

（３）顧客情報を利用する際に守るべきこと

まず，利用目的の範囲を超えないが重要となります。

名簿業者などが本人の同意を得た利用目的の範囲を超えて顧客情報を利用することは法令で禁止されていますので，もし別の目的で利用しようとする場合には改めて本人の同意を得なければなりません。

次に，電話をかけて勧誘し商品などの申込みや売買契約の締結を目的とする「電話勧誘販売」を行うときには，特定商取引法で定められた以下の規制があります。勧誘する前に必ず以下の事項を消費者に伝えることが重要になります。

• 会社名
• 担当者（勧誘を行う者）の氏名
• 販売しようとする商品（権利，役務）の種類
• 契約の締結について勧誘する目的である旨
• 禁止行為としては以下の事項が挙げられます。
• 一度断った相手に対し再勧誘すること
• 事実と異なる説明をすること
• 故意に事実を伝えないこと
• 相手を威迫し困惑させること

 

そして，広告又は宣伝のために電子メールを送信する場合には特定電子メール法で，原則として送信者に対し，①特定電子メールの送信を希望する旨，又は②送信をすることに同意する旨を通知した相手以外には送信を禁止されています。

名簿業者などが上記の①・②の通知を得ていても，名簿の購入者は新たに①・②の通知を得なければならないためメール利用は難しいと思われます。

 

（４）安全管理措置(改正法20条)

顧客情報を取得すると個人情報取扱事業者として，個人情報の漏洩，滅失・毀損などの防止に必要な措置を講じる義務が課せられます（個人情報保護法第20条）。当該条項には「個人情報取扱事業者は，その取り扱う個人データの漏えい，滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と記されています。

※ なお，改正は文言の「き損」が「毀損」に変更されたのみです。

 

①「滅失又は毀損」

「滅失」とは，個人データが失われることをいい，「毀損」とは，個人データの内容が変わってしまったり，内容に変更がなくとも利用できない状態になったりしたことをいうとされています。

②「個人データの安全管理のために必要かつ適切な措置」

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p41には，次の記載がなされています。

　「当該措置は，個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し，事業の規模及び性質，個人データの取扱状況(取り扱う個人データの性質及び量を含む。)，個人データを記録した媒体の性質等に起因するリスクに応じて，必要かつ適切な内容としなければならない。」

また，同ガイドラインpp86-98の別添「講ずべき安全管理措置の内容」には，安全管理措置として，個人情報取扱事業者が具体的に講じなければならない措置や当該措置を実践するための手法の例等が記載されています。

 

組織的安全管理措置

1. (安全管理措置を講ずるための)組織体制の整備
2. (整備された)個人データの取扱いに係る規律に従った運用
3. 個人データの取扱状況を確認するための手段の整備
4. 漏えい等の事案に対応する体制の整備
5. 取扱状況の把握及び安全管理措置の見直し

 

人的安全管理措置

1. 従業員の教育
2. 物理的安全管理措置
3. 個人データを取り扱う区域の管理
4. 機器及び電子媒体等の盗難等の防止
5. 電子媒体等を持ち運ぶ場合の漏えい等の防止
6. 個人データの削除及び機器，電子媒体等の破棄

 

技術的安全管理措置

1. アクセス制御
2. アクセス者の識別と認証
3. 外部からの不正アクセス等の防止
4. 情報システムの使用に伴う漏えい等の防止
5. なお，前記ガイドラインだけでなく，JIS Q 15001によって個人情報保護マネジメントシステムにおける要求事項が示されているほか，プライバシーマーク制度が認知･運用されています。

 

個人情報保護法第20条において「講じなければならない」と記載されている通り，個人情報保護法第19条とは異なり，本条は努力義務ではありませんのでご注意ください。

4 最後に

実際に顧客情報の購入・利用を検討しているのであれば，独自に判断するのではなく専門的な知識や経験が豊富な弁護士に事前に相談しアドバイスを受けることをおすすめします。

オリエンタル法律事務所は，名簿業者を利用して営業を掛けている顧問先を多く抱えていますので，名簿の売買などの個人情報保護法に高い専門性を有する法律事務所です。まずは一度ご相談いただけますようお願い致します。

ニュース一覧