要配慮個人情報を含む個人情報を、一般の方々から申込書等で取得する場合も、あらかじめ書面による同意が必要となりますでしょうか。
PMS-B01個人情報取扱及び保護規程2.3「要配慮個人情報などの取得」についてご教示ください。
個人情報保護法ガイドライン「3-3-2要配慮個人情報の取得(法第20条第2項関係)」に、下記の記載がございます。
要配慮個人情報を含む個人情報を、一般の方々から申込書等で取得する場合も、あらかじめ書面による同意が必要となりますでしょうか。
(※2)「本人の同意」については、2-16(本人の同意)を参照のこと。なお、個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される。
個人情報保護法では、「本人から要配慮個人情報を直接取得している場合は、 本人が当該情報を提供したことをもって、本人の同意を得たものとする」と理解しています。念のため確認させてください。
「要配慮個人情報」の取得に関しては、法第20条(適正な取得)の2項が該当するかと思います。
第二十条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
※「個人情報保護法」より
ご質問にある『個人情報保護法ガイドライン「3-3-2要配慮個人情報の取得(法第20条第2項関係)」』にある「※2」は、どのような行為(状態)をもって「本人の同意」とするのかという意図となります。
「本人の同意」に関しては、2-16(本人の同意)に【本人の同意を得ている事例】として、以下のようなものが記載されています。
- 事例1)本人からの同意する旨の口頭による意思表示
- 事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領
- 事例3)本人からの同意する旨のメールの受信
- 事例4)本人による同意する旨の確認欄へのチェック
- 事例5)本人による同意する旨のホームページ上のボタンのクリック
- 事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
※「個人情報保護法ガイドライン」より
よって、ご指摘のとおり、個人情報保護法に遵守する場合は、書面以外に、口頭による意思表示も「本人の同意」となり得ます。
なお、ここで注意すべき点は、プライバシーマーク制度に関しては、JIS Q 15001が関連してくる点です。
JIS Q 15001では、「A.5 要配慮個人情報などの取得」のb項に以下のように規定されています。
- b) 組織は,要配慮個人情報の取得に際して同意を得るとき,要配慮個人情報の取得,利用及び提供並びに要配慮個人情報のデータの提供する旨について,あらかじめ書面によって明示しなければならない。
※「JIS Q 15001:2023」より
つまり、プライバシーマーク制度の場合は、「要配慮個人情報の取得」に関しては、「本人の同意」が「書面」でなければいけないことになります。
ちなみに、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の「J.8.3_要配慮個人情報などの取得(A.5)」においても、同様に「書面での同意」が要求されております。
以上、ご参考ください。
