「個人情報」はどうやったら利用できるの?

よく「「個人情報」を取られるから気を付けて」みたいに言われることがありますけど、「個人情報」を取る人って、何で「個人情報」が欲しいんですか??

理由はいろいろ考えられます。中にはプライバシーを覗いて楽しんでる人もいるみたいですけど、そういうのを別にすれば、例えば統計を取ったりとか。最近では、マーケティングに利用したいっていうのが増えているみたいですね。

マーケティングに「個人情報」が使えるんですか?

はい。例えばダイエット商品の広告を出すことを考えたとき、全国ネットのテレビCMを出すより、「痩せたい」と思っている人だけに広告を出した方が、安いし効果もあがるじゃないですか。

でもそんな「痩せたい」と思っている人だけなんてできるんですか?

それを分析するために、「個人情報」を取りたいんですよ。ダイエットの本を買った履歴とか、最近ジムに入会したみたいなデータを集めれば、「この人はダイエットに興味がありそうだ」って考えることができるじゃないですか。

なるほど!

あ、でも自分が「ダイエットに興味ある人」っていう情報が流れたら嫌ですね。

そうなんです。だからこそ、最近「「個人情報」はきちんと保護しましょう」っていう意識が高まってきているんですよ。

でも「自分の商品に興味を持ちそうな人にだけ広告が出来たら」って考えると、それも魅力的な気がします。何か良い形で利用できる方法ってないんですか?

基本的には、「どういう目的で個人情報を利用するのか(利用目的)」について、取得のときに相手に承諾を取るのが必要ですね。個人情報保護法も、「個人情報」を取るときは利用目的を相手に通知したり公表したりすることとしています。

あ、確かに、どういう利用がされるのか分かっていたらいいですね。変な利用をしそうなところだったら、最悪そのサービスは利用しないこともできますから。

あとは「個人情報」にあたらないパーソナルデータに限定して取得するとか。「行動ターゲティング広告」なんか、この考え方で適法とされているようですね。

行動ターゲティング広告」って、クリックした履歴とかによって出てくる広告が変わるやつですよね。あれって、法律に違反しないんですか??

あれは「●●をクリックした人」という情報しか取得していないので、それだけじゃ個人を特定できないですよね。だから一応適法と考えられています。でも、行動履歴をたくさん取得した結果、全部合わせると特定の人が浮かび上がってくるなんて場合は「個人情報」の問題になります。だから結局、程度問題なんですよね。

そうですか。やっぱり集めたパーソナルデータ個人を特定できるかどうかが、重要なポイントなんですね。

そういうことです。

ちなみに今回の話は自分で取得した「個人情報」を利用する場合のものです。取得した「個人情報」を他人に提供する場合や、他人から提供された「個人情報」をどう利用するかについては、次の機会に説明しますね。

【解説】

「個人情報」はどう利用される?

インターネットやスマートフォンなどの普及に伴い、「個人情報」の重要性についても関心が集まるようになりました。WEB上ではたくさんのパーソナルデータが簡単に取得されているためでしょう。

個人情報」が重要であることは疑いようもありませんが、法律は、ある程度「個人情報」の取得・利用を認めています。これは、「個人情報」を利用することが有用な場合があるからです。特に最近では、マーケティングの分野で「個人情報」やパーソナルデータの有用性が注目されています。WEBの利用などから得られる膨大なデータ(ビックデータ)を分析することで、より効果的なマーケティング戦略を立てられるといわれており、法律も、そのような利用を認める方向で改正がなされています。

例えば、著作権法は平成24年改正でビックデータの利用を前提とするような改正がなされましたし、個人情報保護法も近いうちにビックデータの利用に適した改正が進められています。

 

「個人情報」の利用方法は?

個人情報」が有用であるといっても、その利用にはやはりルールがあります。個人情報保護法は、個人情報取扱事業者の義務として、

  • 利用目的特定すること
  • 個人情報」の利用は特定した利用目的に限ること
  • 個人情報」の取得に際して特定した利用目的を通知したり公表したりすること

などを定めています。個人情報取扱事業者でなくとも、最低限、本人が「個人情報」の使われ方を知り得た上でそれを提供したといえることが必要でしょう。

 

個人を特定できなければ大丈夫?

個人情報」にあたらないパーソナルデータについては、原則として「個人情報」としての規制は及びません。「行動ターゲティング広告」はこのことを前提に成り立っています。

もっとも、例えば一人のユーザーのパーソナルデータを多く集めた結果、それを組み合わせると個人が特定できてしまうような場合、それらのパーソナルデータは全て「個人情報」にあたり、規制の対象になってしまいます。そのため単なるパーソナルデータの取扱いであっても、そこから個人が特定できるまでになっていないかどうか常に注意すべきでしょう。

なお、カルテや反省文といった個人の人格と強く結びつくような情報は、たとえ個人を特定できないものであっても、漏えいしたときに損害賠償の対象になり得ます個人を特定できなければ全てOKという訳ではありませんので、その辺りは注意しましょう。

 

弁護士への法律相談(初回30分無料)はこちらから。

渡辺 泰央

渡辺 泰央

上智大学法学部国際関係法学科、東北大学法科大学院卒業。2010年司法試験合格。2012年弁護士登録(第二東京弁護士会)。 ウェブサービス、スマートフォンアプリをはじめとするIT関連、デジタルコンテンツ関連案件の訴訟、紛争や意見書作成、契約書作成、著作権侵害性リサーチなどを得意とする。