〜理容室・美容室(美容院)経営の法律知識〜

『理美容六法.com』‐理容室・美容室経営の法律知識‐ サイト運営元
お問い合わせ
理容室・美容室(美容院)の開業・経営に必要な行政手続や法律知識について、さまざまな情報を提供しています。理美容室経営者の方や将来独立開業予定の理容師・美容師の方、理美容業界関係者の方は、ぜひお読みください!
5-4.顧客名簿やカルテの利用目的について
《1:個人情報の利用目的について》 

 個人情報保護法では、個人情報取扱事業者が顧客名簿やカルテ、顧客アンケートや従業員名簿などの『個人情報』を取り扱うに当たっては、その利用の目的をできる限り特定しなければならないとされています。では、「できる限り特定」とは、どの程度まで特定すればよいのでしょうか?
 経済産業省の定めたガイドラインによれば、利用目的の特定にあたっては、利用目的を単に抽象的、一般的に特定するのではなく、最終的にどのような目的で個人情報を利用するかを可能な限り具体的に特定する必要があるとされています。

 ○:具体的に利用目的を特定している事例
  1. 「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」
  2. 「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります。」
  3. 例えば、情報処理サービスを行っている事業者の場合であれば、 「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」
 ×:具体的に利用目的を特定していない事例
  1. 「事業活動に用いるため」
  2. 「提供するサービスの向上のため」
  3. 「マーケティング活動に用いるため」
 なお、個人情報の利用目的の特定は、お客様に関する個人情報だけではなく、従業員の氏名・住所・給与の額・出勤状況・家族構成などの個人情報についても、労働者本人が、「合理的に想定できる程度に、具体的、個別的に特定しなければならない」とされています。 この規定は現在働いている従業員はもちろんのこと、これから従業員になるために求人に応募してきた者や、応募して不採用になった者、すでに退職した過去の従業員についてもあてはまります。

《2:利用目的の変更について》 

 原則として、一度定めた個人情報の利用目的を、後から変更することは出来ません。ただし、変更前の利用目的と「相当の関連性を有すると合理的に認められる範囲内」で利用目的を変更する場合には、変更できます。
 例えば、「新商品・サービスに関する情報を電子メールにより送信する」という利用目的の一部を「電子メールまたは郵便によりお知らせする」と変更することは、許される範囲であるとされています。この場合には、その旨を、本人に「通知」(同意までは不要)、または「公表」しなければなりません。この「通知・公表」制度については、次節5-5.の後半で書いています。

《3:個人情報の利用範囲について》 

 個人情報は、上記のようにして明らかにされた「利用目的を達成するために必要な範囲内でのみ」利用することができます。したがって、求人に応募してきた人に対し、面接の日時や採用・不採用の結果通知を行うために電話をしたり、郵便物を送付したりすることは、求人という目的の達成に必要な範囲で個人情報を利用しているといえますが、その応募者の履歴書に記載された住所に「販売促進のため」のDMを送ることは、求人のために必要な範囲での個人情報の利用とはいえませんので、出来ないことになります。

 もし、このように、定められた利用目的を超えて、個人情報を利用したい場合には、「あらかじめ、本人の同意」が必要であるとされています。この「本人の同意」は、合理的かつ適切な方法によって得なければならないとされています。

 ○本人の同意を得ている事例
  1. 「同意する」旨を本人から口頭又は書面(パソコンのデータ画面も含む)で確認すること。
  2. 本人が署名又は記名押印した、「同意する」旨の申込書などを受け取り確認すること。
  3. 本人からの「同意する」旨のメールを受信すること。
  4. 本人による「同意する」旨の確認欄へのチェック。
  5. 本人による「同意する」旨のウェブ画面上のボタンのクリック。
  6. 本人による「同意する」旨の音声入力、タッチパネルヘのタッチ、ボタンやスイッチ等による入力
 なお、個人情報取扱事業者は、合併などによって他の個人情報取扱事業者から事業を承継することに伴い、その事業者の持っていた個人情報を引き継いだような場合には、あらかじめ本人の同意がない限り、その事業者が以前に定めていた個人情報の利用目的の範囲に縛られます。

 例えばAさんがBさんの事業を引き継いだ場合、あるいはA社がB社を吸収合併したような場合には、AはBが持っていた店舗や設備、営業権などと一緒に、Bがそれまで持っていた顧客名簿などの個人情報をも手に入れることになります。
 この場合、たとえAの個人情報の利用目的の中に「DMの発送」が含まれていたとしても、Bの個人情報の利用目的の中に「DMの発送」が含まれていなければ、AはBから引き継いだ顧客名簿に載っている人たちに、DMを発送することは出来ないということです。もしDMを発送したいのであれば、あらかじめDMを送ろうとしている人たちから同意を得る必要があります。

《4:利用目的についての例外》

 ここまで書いてきた、個人情報の利用目的に関するルールは、次の場合には適用されません。
  1. 法令に基づく場合。 (例:令状による捜査を受けた場合など)
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(例:急病の際に、本人について、その血液型や家族の連絡先等を医師や看護士に提供する場合)(例:私企業間において、意図的に業務妨害を行うものの情報について情報交換される場合)
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(例:不登校の生徒についての情報を、児童相談所や学校等が連携して対応するために交換する場合)
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(例:事業者等が、警察や税務職員の求めに応じて、任意に個人情報を提出する場合)
 2.については、2005年4月に発生したJR福知山線の事故が、ちょうど個人情報保護法の施行直後であったため、事故の起きた列車に乗っていた家族からの問い合わせに病院が応じなかったなど、医療現場でも混乱があったそうです。今後もこの点については、事故のあった航空機の乗客名簿の公表などについて、議論を呼びそうですが、このサイトで扱うべきテーマではありませんので、深入りしないことにします。