今日はちょっと個人情報の少し黒い部分w
なぜ見ず知らずのところからDMや営業電話がかかってくるのか?
それは合法なのか?
そもそも名簿の売買は合法なのか?
結論から言うと「条件を満たせば合法」なのです。
http://www.ppc.go.jp/files/pdf/personal_2810leaf_smallbusinesses.pdf
その4:個人情報を他人に渡す時のルール
個人情報を他人に渡す際には、本人の同意を得る。
個人情報を他人(本人以外の第三者)に渡す場合は、
原則、本人の同意が必要になります。
例外として
1-法令に基づく場合
2-人の生命、身体又は財産保護の為(かつ本人の同意を得る事が困難)
3-公衆衛生・児童の健全な育成の為(かつ本人の同意を得る事が困難)
4-国や地方公共団体等への協力
5-業務を委託する場合(商品配送で配送業者に個人情報を渡す場合など)
この項目にプラスして、
「オプトアウトによる第三者提供」
これについては、事前に本人同意は不要とされています。
オプトアウトとは、
次の項目を「本人が容易に知る事が出来る状態」にしている事。
「本人が容易に知る事が出来る状態」とは、
ホームページにプライバシーポリシーを掲載しているなどをいいます。
そしてそのプライバシーポリシーに、
1-第三者提供を利用目的としている事
2-提供されるデータの項目(氏名・住所・電話番号など)
3-提供の方法(用紙・CDなど)
4-本人の求めに応じて提供を停止する事
5-本人の求めを受け付ける方法
従来はこの5項目を、
プライバシーポリシーに記載していれば、
合法的に名簿を販売することは可能でした。
しかし、今回の改正でこの名簿販売に対する規制が強化されました。
そのきっかけとなったのは、
ベネッセ個人情報流出事件です。
2014年7月に発覚したベネッセ個人情報流出事件は、
ベネッセのグループ企業のシステム会社の従業員が、
ベネッセ社内から顧客データを持ち出して名簿業者に売却し、
流出した顧客情報は最大で3504万件に及ぶとされ、
その情報が他の名簿業者数社に再販されて広がった事件です。
この事件を契機に、名簿業者への対策として、
改正個人情報保護法では、
・オプトアウトを利用する場合、
本人に通知した事項を新設の「個人情報保護委員会」に届け出る。
・第三者へ提供した際は、受領者、提供者の双方で、
記録をとり一定期間保管する。(トレサビリティの適用)
これが新たに加えられました。
・またベネッセ事件では、事件の大きさに比べて、
現行法では、適用できる罪名が極めて難しかった為、
「個人情報データベース提供罪」が新設され、
今後は明確な処罰の対象となります。
但し、この新たなトレサビリティなどに対しては、
名簿業者対策の為、一般的なビジネスについては、
もう少し緩い規定を適用するようです。
あと改正個人情報保護法では、
「要配慮個人情報」は、オプトアウトの手続きでも、
第三者提供は禁止されています。
要配慮個人情報=人種、信条、社会的身分、障害、病歴、犯罪経歴、犯罪被害の事実
これに信用情報は入らないようですね。
地方の中小事業者が一般的な業務で個人情報を運用する場合、
通常は、個人情報を第三者に渡す事は無いと思いますが、
プライバシーポリシーに、
・お客様の個人情報は業務委託先以外の第三者に提供する事はありません。
と、記載しているのに、
知合いの事業者とか所属する自治会に、
「今度のおたくのイベントうちの名簿使って案内かけてみたら?」
など、やってしまうと
・本人の同意を得ていない
・例外のオプトアウトの規定に則っていない
これでアウトのケースになります。