JAPHICマーク取得事業者が遵守しなければいけない個人情報保護法のガイドラインには、個人関連情報の第三者提供の制限等という項目があります。
また、こちらの項目には、個人データ等における本人の同意の取得方法に関するルールが記載されています。
今回はこちらの内容について解説します。
個人データの提供先における本人の同意の取得について
JAPHICマークの取得事業者が所有する個人データ等を、業務上必要なことから第三者事業者などに提供するという場合があります。
このような個人データ等の提供自体は、もちろん違法ではありません。
ただし、このとき提供先である第三者事業者で、個人データ等の本人における同意を取得する場合は、第三者事業者により、その本人が対象となる個人データ等を特定できるように案内した上で、同意を取得しなければいけません。
また、このとき個人データとして取得した情報の使用目的については、第三者事業者が本人に通知、または公表を行う必要があります。
さらに、提供元であるJAPHICマーク取得事業者も、提供先である第三者事業者を個別に明示したり、対象となる個人データ等を特定できるように示したりしなければいけません。
もちろん、提供先である第三者事業者が個人関連情報を個人データ等として取得した後の利用目的も、第三者事業者と同様、提供元のJAPHICマーク取得事業者が本人に伝えることが求められます。
このとき本人に通知した利用目的以外では、当初の利用目的と関連性がない限り、原則として当該個人データ等を利用することはできません。
同意取得の方法について
JAPHICマーク取得事業者が個人データ等を提供する第三者事業者が、個人関連情報を個人データ等として取得すると想定される場合、同意取得に際しては、本人に必要な情報をわかりやすく示さなければいけません。
また、具体的な同意取得の方法については、ウェブサイト上で行う場合、そのサイト上に本人に示すべき事項を記載するだけでは不十分です。
このときには、上記の事項を示した上で、ウェブサイト上のボタンにクリックを求める方法などにより、明確に本人から同意を取得しなければいけません。
つまり、“本人の同意を得られる可能性が限りなく高い方法”ではなく、あくまで確実に本人の意思で同意がなされたことが証明されなければいけないということです。
本人の同意取得の方法の確認について
個人データを第三者事業者に提供するJAPHICマーク取得事業者は、第三者事業者から申告を受ける方法や、その他の適切な方法により、本人の同意が得られていることについて、必ず確認しなければいけません。
つまり、第三者事業者で適切な同意取得が得られていたとしても、その実態を把握していなければ意味がないということです。
また、個人データ等の提供先である第三者事業者において、複数の本人から同じ方法で同意を取得している場合、提供元であるJAPHICマーク取得事業者は、それぞれの本人から同意が取得されているかどうかも確認します。
こちらは、本人一人一人に確認をしなくても、複数の本人からどのように同意したかという申告を受ければ、不正があるかどうかは確認できます。
その他、個人データ等の提供先が外国にある第三者事業者である場合も、当然国内の提供先と同じように、本人の同意が得られているかどうかをチェックしなければいけません。
まとめ
ここまで、JAPHICマークの取得事業者が実施すべき、個人データ等における本人の同意の取得方法について解説してきました。
細かいルールが定められているこちらの項目ですが、JAPHICマークの取得や更新を目指す事業者であれば、じっくりと体制を整えることで、ある程度理解できるかと思います。
ただし、他にも求められる措置や対策は数多くあるため、すべての項目を満遍なく学習するのが大切です。