プライバシーポリシーをウェブサイトに掲載することは一般的になりましたが、「同意の取得」まで必要なのか判断に迷う場面も多いのではないでしょうか。
様々な企業のウェブサイトを見ても、例えば「お問い合わせフォーム」に「プライバシーポリシーに同意する」というチェックボックスを設けている企業もあれば、プライバシーポリシーは掲出しているだけという企業もあります。
これは、個人情報保護法(以下「法」)上ではどんな場合でも本人の同意が求められているわけではないことが理由として挙げられます。
そこで、同意が必要となる具体的なケースと、そうでない場合の実務対応について整理してみます。
原則として「同意」は不要
法では、個人情報を取得・利用する際に「本人の同意」が必須とされているわけではありません。
むしろ、同意が必要とされているのは限定的で、利用目的をあらかじめ通知または公表し、その目的の範囲内で利用する限りにおいては本人からの同意は不要であるのが原則です。
そのため、プライバシーポリシーは掲示しているだけという企業もとても多いです。
「同意」が必要となる3つのケース
しかし、例外的に「同意」が必要となる場面も存在します。
1. 第三者提供を行う場合(法27条1項)
他社や外部の事業者など、第三者に個人情報や個人関連情報を提供する場合には、原則として本人の同意が必要です。
ただし、「委託」「事業承継」「共同利用」など、法令で定められた一定の例外に該当する場合には、同意を得ずに提供できるケースもあります。
2. 要配慮個人情報を取得する場合(法20条2項)
要配慮個人情報を取得する場合には、原則として本人の同意が必要です。
3. 利用目的の範囲を超えた利用を行う場合(法18条1項)
取得時に明示した利用目的の達成に必要な範囲を超えて利用する場合には、原則として本人の同意を再度取得する必要があります。
同意が不要となる例外
利用目的の範囲を超える利用や、第三者に提供する利用であっても、以下のような一定の要件に該当する場合には、同意を得ずに利用できることがあります(法18条3項、法27条1項)。
たとえば、以下のようなときが該当します。
- 法令に基づく場合(1号)
- 人の生命、身体または財産の保護に必要で、本人の同意を得ることが困難であるとき(2号)
- 公衆衛生の向上や児童の健全育成に特に必要な場合で、本人の同意を得ることが困難であるとき(3号)
- 国や地方公共団体などの事務遂行に協力する必要がある場合で、本人の同意を得ることで事務に支障が生じるおそれがある場合(4号)
「本人の同意を得た」といえる具体的な手段とは?
実務上、「本人の同意を得た」として認められる代表的な手段には、以下のようなものがあります。(ガイドラインより引用)
- 同意する旨が記載された書面の受領
- 同意を確認するチェックボックスにチェックを入れる
- ウェブサイト上の「同意する」ボタンをクリックする
特にウェブサービスにおいては、「プライバシーポリシーを読んだ上で同意します」というチェックボックスを設け、チェックを入れないと先に進まない方法により同意を取得するのが一般的です。
時間が経ってから「同意していない」といった主張に対抗できるよう、このような「同意をした事実」が残る形での取得が望ましいです。
単に同意を得ておけばいい、ということではなく、同意が必要となる理由や同意取得の方法も併せて、十分に検討することが大切です。
