前回は、主にライフログを念頭に、「個人情報とプライバシー情報の違い」「個人情報保護法が対象とする事業者と、課している義務」「スマホアプリなどでパーミッションを得ることが必要になるのは、プライバシー権や『通信の秘密』のため」といったことを簡潔に解説した。今回もライフログの取得を念頭に、スマホアプリなどによるデータ取得時に利用者に開示するべきこと、パーミッションクリアしなければいけないことなどを詳しく聞いていく。
城田 やや複雑な内容になってきましたので、最初に、前回の簡単な整理をお願いします。
岡村 はい。前回説明した、データを取得する際に問題となる日本の法令のフレームワークは、次のように整理できます。
(1) 関係する法令は、(a) 個人情報保護法、プライバシー権、通信の秘密(詳しくは後述)といったグループと、(b) 知的財産権のグループに大別できる。
(2) データの属性がライフログ系である場合には、M2M(マシン・ツー・マシン)系の場合と違って、特に(a)のグループが関係してくる。
(3) (a)のグループに属する個人情報保護法とプライバシー権について、区別せずに論じる人もいるが、それは正確とはいえず、基本的に両者は別のものである。
(4) 主として個人情報保護法の場合には、違反すると行政処分の対象。これに対し、プライバシー権は本人の権利であって、それを侵害すると、本人は、侵害者に対して差止請求、損害賠償請求をすることができる。それ以外にも、両法制度では対象情報や、義務を負う者の範囲なども違っている。
(5) わが国の個人情報保護法が適用される対象情報は、個人識別性がある場合に限られており、そうした識別性の有無がキーポイントになる。その有無は、データに特定人の氏名が入っているような「記述等によって識別性がある場合」に限らず、「他の情報と容易に照合できる場合」も含む(前回の図2参照)。このため、例えば会員IDだけが記載された販売履歴情報であっても、そのIDの持ち主が誰なのかが分かる会員データベースを持っている事業者にとっては、当該販売履歴情報も個人情報となる。
城田 取得するデータに個人識別性がある場合には、個人情報保護法の適用対象になるということですが、その場合に、個人情報保護法との関係で、取得する際に順守しなければならない点についても、前回の復習をお願いします。
岡村 個人情報保護法が定める義務は、取得者が個人情報取扱事業者であるときに限って課せられます。 義務の内容ですが、まず、あらかじめ利用目的を特定しておき(15条)、それを本人に事前に明示しなければなりません(18条2項)。 原則として当該利用目的の範囲内でなければ、その個人情報を利用できませんので(16条)、この点は非常に重要です。
城田 個人情報を取得することそのものについて、本人から事前同意を得ることは必要ないのですね。
岡村 はい。個人情報保護法との関係では要求されていません。ただ、ユーザーとしては、事前に明示された利用目的を見て、自分の個人情報を提供していいかどうかを決定するという流れになるわけです。 ただし、事前同意の要否という点はプライバシー権などとの関係でも問題となりますので、後ほど改めて説明します。
城田 取得の際に、どのような種類の情報を取得するのかという点は、事前明示しなくてもいいのでしょうか。
岡村 はい。この点も個人情報保護法そのものは要求していません。この点もプライバシー権との関係で後述します。
城田 他に個人情報の取得時に、個人情報保護法との関係で守るべき点はあるのでしょうか。
岡村 偽りその他不正の手段による取得は禁止されています(17条)。つまり、取得は適正な方法によらなければなりません。従って、嘘の説明をして取得するようなことは許されません。これは、ごく当然のことです。 ここまで述べた点をまとめますと、最近では端末情報を吸い上げるスマホアプリが多いのですが、パーミッション画面などで利用目的を特定していないもの、明示していないもの、ときには虚偽の利用目的を掲げたものとして問題になることがあります。これらのケースは個人情報保護法違反になります。
