施行前と施行後の個人情報の取り扱いについて
【回答】
ネットショップを経営されているとのことですが、個人情報保護法上の「個人情報取扱事業者」に該当する場合は、この法律に定める規律に従って個人情報を取り扱わなければなりません。今回は、「個人情報取扱事業者」に課せられた義務について説明します。
個人情報の取扱いについて個人情報取扱事業者が守らなければならない義務については、個人情報保護法第4章第1節に定められています。その概要は以下のとおりです。なお、下記の「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は6か月以内に消去することとなるもの以外のものをいい、個人情報と同じではありません。個人情報>保有個人データの関係が成り立ちます。
- 利用目的をできる限り限定しなければならない
- あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない
- 偽りその他不正の手段により個人情報を取得してはならない
- 個人情報を取得した場合は、速やかに、その利用目的を本人に通知又は公表しなければならない
- 正確かつ最新の内容に保つよう努めなければならない
- 安全管理のために必要かつ適切な措置を講じなければならない
- 従業者・委託先に対する必要かつ適切な監督を行わなければならない
- 本人の同意を得ずに第三者に提供してはならない
- 利用目的などを本人の知り得る状態に置かなければならない
- 本人の求めに応じて保有個人データを開示しなければならない
- 本人の求めに応じて保有個人データの訂正等を行わなければならない
- 本人の求めに応じて保有個人データの利用停止等を行わなければならない
このように、個人情報保護法は、個人情報取扱事業者に対し、本人の同意を得ないで利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことを禁止し、これに反する取扱いがなされている場合に、本人の求めに応じて保有個人データの利用を停止することを求めています。
そして、個人情報取扱事業者は、個人情報保護法が全面施行された平成17年4月1日より前に取得した名簿等に記載された個人情報及び保有個人データについても、平成17年4月1日以降は個人情報保護法に沿った取扱いをしなければなりません。
したがって、この質問への回答としては、
『平成17年4月1日の前後にかかわらず、取得した名簿等に記載されている個人情報を商品の宣伝・販売に利用しても良いことが明確ではない場合は、本人の同意を得ないで利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱うことになりますので、ネットショップの商品の宣伝・販売に利用することは差し控えるのが妥当』ということになります。
また、当該個人情報により特定される個人から利用の停止を求められた場合には、改めて本人の同意を得るか、速やかに利用停止の措置を講じるべきです。
