企業が新たな分野にトライするときには、新規事業として立ち上げることが多いでしょう。
新規事業の立ち上げには色々な形態があり、今ある会社のなかで別部門として始めることもあれば、別会社を設立したうえで、その新会社で別の事業をすることもあります。
しかし、そうした経緯で新たに立ち上げた組織において、それまでに収集した顧客の個人情報を自由に使えるかといえば、必ずしもそうではありません。
今回は、新規事業の立ち上げに際した、顧客情報の取り扱いについて説明します。
知っておきたい『個人情報保護法』の規制
新規事業が立ち上がってくると、顧客に向けた広告や営業が始まります。
ただし、個人情報を保有する事業者は、個人情報保護法の適用を受け、個人情報の利用には一定の制限を受けることになります。
これを踏まえた時、従前の事業で取得していた顧客の個人情報は、新規事業でも使えるのかについて、考えてみましょう。
まずはよくある例として、既存の会社(仮にA社)が別会社を作ったケースについて、取り上げたいと思います。
A社が別会社を設立して新事業を始める時、新設会社(B社)は個人情報を保有するA社とは別法人になるため、個人情報の取扱いについては注意が必要です。
今回は具体的に、法律でどのような規制がされているのか、詳しくみていきましょう。
(1)利用目的による制限(個人情報保護法15条、16条)
個人情報には『利用目的による制限』がかかっています。
個人情報を利用する際には、利用目的を明確化し、その目的以外で利用することはできません。
たとえば、既存の会社が別部門を作って新規事業をはじめるようなケースで、もともと飲食店をやっていた会社が、化粧品の通信販売を始めるとします。
顧客から個人情報を取得する際、会社側は利用目的を明示しなくてはなりません。
当然、飲食店として顧客情報を取得した時点では、化粧品の通信販売をすることは想定していなかったでしょうから、化粧品の通信販売は当初顧客に明示した利用目的外となってしまいます。
その会社が化粧品の通信販売のためにその個人情報を利用することはできません。
そのため、たとえばその会社にプライバシーポリシーがあれば、その利用目的欄を変更したり、顧客から個別に同意を取ったりする必要が出てきます。
(2)第三者提供(法23条)について
原則、個人情報には『第三者提供』についての規制があります。
本人の同意なくして第三者に個人情報を提供することはできません。
ただし、A社が個人情報取扱事業者として、個人情報保護委員会に事前届け出をしている場合には、第三者への個人情報の提供は許容され、例外的に本人が第三者提供停止を請求した際には、これを止めなくてはならないという建付けに変わります。
このような方法を、オプトアウトといいます。
そのため、B社がA社から個人情報の提供を受ける際には、まずはA社にて個人情報保護委員会に事前届け出をしているのか確認する必要があります。
また、事前届け出をしていたとしても、事前に本人に通知したり、本人がすぐに見つけられる場所に掲示し、本人が容易に知り得る状態に置いたり(具体的には、HPのトップ画面から1クリック遷移先や、本人の来訪が予想される事務所窓口への掲示、備え付けなど)しなくてはなりません。
さらに、本人が第三者提供停止を求めてきたら、これに応じなくてはなりません。
ここで注意したいのが、『要配慮個人情報』は、オプトアウトの方法によることができず、第三者提供時には、必ず本人の同意を取らなくてはならないという点です。
要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などを指します。
こういった情報は、特に他人に知られた場合の不利益が大きいものとして、その取扱いを慎重にすることが求められています。
顧客の個人情報は記録や保管方法に規制がある
続いて、個人情報の記録や保管の方法の規制についても解説します。
(3)個人情報保管(法第26条)について
個人情報の第三者提供時・受領時には、個人情報保管についての法律により、記録作成が必要になります。
個人であれば提供者の氏名または名称および住所、法人であれば、その代表者の氏名だけでなく、提供者が当該個人データを取得した経緯も記載しなくてはなりません。
必要記録事項については、個人情報保護規則17条で定められているので、よく内容を確認しておきましょう。
新規事業立ち上げの際には、少しでも多くの顧客情報が欲しいという要望も多いはずです。
しかし、そこには必ず個人情報保護法に基づいた配慮が必要です。
まずは、自分が扱おうとしている情報が、法的に問題ないものかどうかを、しっかり確認するべきであるといえます。
個人情報保護法に違反すると、個人情報保護委員会から勧告や命令を受けることもあり、従わない場合には、刑事罰が下されることもあります。
新規事業を立ち上げる際には、こうした落とし穴があることも理解しておきましょう。
また、2022年4月からは『改正個人情報保護法』が施行されます。
改正内容の詳細は次回の記事で解説します。
※本記事の記載内容は、2022年2月現在の法令・情報等に基づいています。