1.はじめに
2017年5月30日から個人情報保護法が改正されました。
これに伴い、MyASPを利用して、メールアドレス等の個人情報を扱う際の注意事項も増えました。
この記事では、改正後の個人情報保護法に関する基本的な事項と、特に注意すべき内容について記載します。
個人情報保護法が守られない場合、法律により罰せられることがあります。
また、MyASPの利用(アカウント)を停止させていただくこともありますので、本記事の内容をご一読お願いします。
2.メールアドレスだけでも個人情報?
個人情報とは、生存する個人に関する情報で、特定の個人を識別することができるものです。
例として
・氏名
・生年月日と氏名の組合せ
・顔写真
(※その情報単体でも個人情報に該当することとした「個人識別符号」も個人情報に該当します。)
などがあげられます。
MyASPを利用する際には「メールアドレス」を扱うことになりますが、
「メールアドレス」も個人情報に該当することが多いです。
(そのメールアドレスを元に、照会することで個人を特定できれば個人情報となる)
Q. 3-2
メールアドレスは、個人情報に該当しますか。
A.
保護法では「個人情報」を、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と規定しています(第2条第2項)。
メールアドレスには、個人情報に該当するものとしないものがあります。記号を羅列したもの(例えば「0123ABCD@soumu.go.jp」)のように、それだけでは特定の個人を識別できない場合には、個人情報には該当しません。しかし、特定の個人の氏名を記載したもの(例えば「〔氏名のローマ字記述〕@soumu.go.jp」)のように、特定の個人を識別できる場合には、個人情報に該当します。
なお、保護法では、「他の情報と照合することができ、それにより特定の個人を識別できることとなるもの」(第2条第2項)も個人情報としています。このため、記号を羅列したメールアドレスであったとしても、例えば、それがある省のある職員のメールアドレスであって、当該省の職員であれば職員名簿等により誰のメールアドレスなのか分かるような場合には、そのようなメールアドレスは、個人情報であるといえます。
ただし、メールアドレスから直ちに特定の個人を識別することが難しい場合であっても、メールアドレスは、各個人にとって私信を受け取るなどのためのインターネット上の住所とも言うべきものであり、慎重かつ適正に取り扱う必要があることに変わりはありません。
上記、「特定の個人を識別できる場合には、個人情報に該当します。」および「メールアドレスは、各個人にとって私信を受け取るなどのためのインターネット上の住所とも言うべきものであり、慎重かつ適正に取り扱う必要があることに変わりはありません。」と記載がある通り、メールアドレスだけでも扱いには配慮が必要です。
また、メールを配信する際は、個人情報保護法だけでなく、特定電子メール法も参照する必要がありますのでご留意ください。
3.個人情報保護法 概要
・個人の権利・利益の保護と個人情報の有用性(社会生活やビジネス等への活用)とのバランスを図るための法律
・民間事業者の個人情報の取扱いについて規定
※参考ページ
個人情報保護委員会 はじめての個人情報保護法~シンプルレッスン~
http://www.ppc.go.jp/files/pdf/1711_simple_lesson.pdf
中小企業サポートページ(個人情報保護法)
http://www.ppc.go.jp/personal/chusho_support/
改正個人情報保護法の基本(平成29年6月)(全23ページ) (PDF:1021KB)
http://www.ppc.go.jp/files/pdf/1706_kihon.pdf
4.個人情報保護法の適用範囲の変更(平成29年5月30日から)
従来、個人情報保護法の適用範囲は
取り扱う個人情報の数が5,000人分以下の事業者には適用されない
となっていましたが、個人情報保護法の改正後は、
平成29年5月30日からは、中小企業をはじめとするすべての事業者・団体に適用対象
とされています。
このことから、メールアドレスの数に限らず、すべての事業者や団体が個人情報保護法を遵守する必要があることに注意が必要です。
従って、プライバシーポリシーの整備(公開)が必須となります。
5.プライバシーポリシーの「利用目的」記載の注意事項
個人情報を取得する場合には
・利用目的を特定して、その範囲内で利用する。
・利用目的を通知又は公表する。
※参考ページ
個人情報保護委員会 はじめての個人情報保護法~シンプルレッスン~
http://www.ppc.go.jp/files/pdf/1711_simple_lesson.pdf
となっています。
個人情報を取得する場合については「プライバシーポリシー」等に
・個人情報を取得・扱う会社・団体をすべて記載
・取得した個人情報をどのように利用されるか利用目的の記載
をするようにしてください。
なお、よくあるケースとして、個人情報の利用目的に
協力関連会社、関連グループからメールをお送りします
といった曖昧な記載で配信許諾への同意(オプトイン)を取った場合は、正しいオプトインが取れていることにならない場合があります。
個人情報を共有取得して利用する場合は、共有先の事業者名も明記する必要があります。
また、MyASPを利用する際には、
「プライバシーポリシー」が不完全な場合(個人情報を扱う会社・団体の正確な明記がない等)で、
迷惑メールに関する通報があり、そのクレームが正しいものであると判断された場合、
MyASPの利用規約
(2)サービスの停止、解約
・利用者が、当社、当社の他の利用者あるいはインターネット上に
迷惑をかける行為を行ったとき、または行う恐れがあるとき
https://myasp.jp/agreement/
に抵触しアカウントを停止させていただくことがあります。
「プライバシーポリシー」等には明確な記載をし、また、メール配信にも、配信者が受信者に認識できるような記載をお願いします。
6.「要配慮個人情報」の取得について
「要配慮個人情報」とは
・人種
・信条
・社会的身分
・病歴
・犯罪の経歴、
・犯罪により害を被った事実
・身体障害等の障害があること等
など
※参考資料
個人情報保護委員会 はじめての個人情報保護法~シンプルレッスン~
http://www.ppc.go.jp/files/pdf/1711_simple_lesson.pdf
があげられるようです。
この「要配慮個人情報」を取得するには本人の承諾が必要になります。
また承諾の取得方法には
本人の同意を得る方法は、特に定めはありません。
口頭・書面で同意を得る方法のほか、
ホームページで同意欄にチェックいただく方法も考えられます。
※参考資料
個人情報保護委員会 はじめての個人情報保護法~シンプルレッスン~
http://www.ppc.go.jp/files/pdf/1711_simple_lesson.pdf
となっているようです。
これらの項目を扱う際はご注意ください。
7.第三者へメールアドレス提供するために必要な事項
第三者へのメールアドレス提供に関する規定は、個人情報保護委員会のページに詳しく記載されています。
許可なくメールアドレスを第三者へ情報提供(漏えい)することは法律により禁止されています。
また、メールアドレスの提供を受けた側も問題になるケースが増えておりますのでご注意ください。
個人情報保護委員会:オプトアウトによる第三者提供の届出
https://www.ppc.go.jp/personalinfo/legal/optout/
また、用語の説明として
オプトイン → 本人の同意(配信許可)を得ること
オプトアウト手続き → 本人の同意を得ずに個人情報を第三者に提供する等の行為を行うこと(配信解除とは別の意味)
となっております。
8.メールアドレスを購入して使用してもよいのか?
個人情報の売買については個人情報保護法で禁止されているわけではないようです。
Q3-2
名簿業者は、違法ではないのですか。
A3-2
いわゆる「名簿業者」とは、個人情報を販売することを業としている事業者を指すものと考えられますが、
「名簿業者」又は「名簿を売買する行為」が個人情報保護法で禁止されているわけではありません。
※参考資料
個人情報保護委員会 よくある質問(個人向け) 抜粋
https://www.ppc.go.jp/personal/faq/kojin/
ただし条件があり、
ただし、「名簿業者」に関して指摘される問題点を解決するものとして、
次の点が適用されることになりました。
①名簿業者が、名簿を売買すること(第三者提供)を届出制にし、
当該届出を行った事業者や一定の事項を
個人情報保護委員会が公表すること(法第23条第3項及び第4項)
②不正に取得された個人データの流通を食い止めるため、
名簿を購入する会社(個人情報取扱事業者)に対して名簿(個人データ)の
第三者提供時の確認義務及び記録の作成・保存義務(法第25条及び第26条)を
課すとともに、名簿業者に対し虚偽の申告を禁止(法第26条第2項)すること
③個人情報の取扱いに関する業務の従事者等が個人情報を不正に持ち出し、
第三者に提供して利益を得る行為を処罰できるよう、
個人情報データベース等不正提供罪(法第83条)を新設すること
※参考資料
個人情報保護委員会 よくある質問(個人向け) 抜粋
https://www.ppc.go.jp/personal/faq/kojin/
と規定されているようです。
なお、MyASPを利用してメール配信を行う場合については
「配信する事業者ご自身の名義でオプトインが取れているもの」のみに対して行うことが可能となっております。
第三者名義でオプトインを取ったメールアドレスを「オプトアウト手続き」によって取得したメールアドレスは、
配信する事業者としては正式なオプトインが取れていない場合が多く、メール配信等を行ってしまうと、
MyASPの利用規約
(2)サービスの停止、解約
・利用者が、当社、当社の他の利用者あるいはインターネット上に
迷惑をかける行為を行ったとき、または行う恐れがあるとき
https://myasp.jp/agreement/
に抵触する可能性が高く、原則禁止とさせていただいております。
9.特定電子メール法について
正式名称は、「特定電子メールの送信の適正化等に関する法律」といい、
第三条(特定電子メールの送信の制限)に、
原則としてあらかじめ送信の同意を得た人以外へのメールの配信を禁止する
法律になります。
また、同法律には、
・第四条(表示義務)
配信するメールへの配信者情報の表示義務
・第五条(送信者情報を偽った送信の禁止)
送信元アドレスをなりすましや、
送信元が表示しないように設定してメールを送ってはならない
・第九条(苦情等の処理)
苦情があった際には、速やかにメール配信の停止の義務
など配信されますメールに対して、誠意をもって処理するように定められています。
さらに、第6条(架空電子メールアドレスによる送信の禁止)では、
架空電子メールアドレスへのメール配信も禁止されておりますので、
ワンタイムメールアドレスや存在しないメールアドレスに対しての
メールを配信も直ちに停止する必要があります。
※参考資料
特定電子メールの送信の適正化等に関する法律
10.最後に
「個人情報保護法」について詳しく知りたい場合は
「個人情報保護委員会」もしくは「弁護士」までご相談をお願いします。
個人情報保護委員会ホームページ
https://www.ppc.go.jp/個人情報保護法相談ダイヤル
03-6457-9849
また、記載内容について解釈の間違い、およびご指摘の点がありましたら
お問い合わせ
http://www.myasp.jp/contact/
までご連絡ください。