1 個人情報とは個人の特定,識別が可能な情報が該当する
2 個人情報の具体例は住所,氏名,生年月日であり,メールアドレス,電話番号は該当しない
3 『究極の個人情報DNA』→連結可能性で決まる
4 顧客へのパンフレット送付のためには承諾が必要
5 個人情報保護法;名刺交換→DM送付
6 個人情報保護法;親会社・子会社間での情報流用
7 個人情報保護法;年賀状,暑中見舞い,お中元,お歳暮類
8 個人情報保護法違反の罰則

1 個人情報とは個人の特定,識別が可能な情報が該当する

個人情報の取扱について,一定の罰則の適用を規定し,個人情報を保護する法律は個人情報保護法です。
保護の対象とする個人情報についての定義は次のとおりです。

個人情報の定義>

※『あ』,『い』のいずれも

あ 情報の対象が現存の人

生存する個人に関する情報である

い 特定の個人の識別が可能

次のいずれかにより,特定の個人を識別することができる
《個人識別方法》
・当該情報に含まれる氏名,生年月日その他の記述等自体により識別可能
・他の容易に照合可能な情報との照合により識別可能
※個人情報保護法2条1項

2 個人情報の具体例は住所,氏名,生年月日であり,メールアドレス,電話番号は該当しない

個人情報の該当性について,具体例を説明します。

(1)住所,氏名,生年月日

個人情報に該当します。
※個人情報保護法2条1項の例示

(2)メールアドレス,電話番号

個人情報に該当しません。
メールアドレスや電話番号の発行,管理者であれば,情報保有者のリストを持っています。
このリストは,メールアドレスや電話番号,と,氏名,の対応が記録となっています。
データベースの技術的な用語としては対応表のことを『テーブル』と言います。
当然,メールアドレスや電話番号から情報保有者の氏名などの情報を得られます(『クエリー』)。
ところで,『個人情報』の定義上,他の情報との照合については,『容易に紹介可能』ということが前提となっています(個人情報保護法2条1項)。
情報の対応表(テーブル)との照合(クエリー)が容易に可能,と言えるのは,管理者のみです。
一般の方が対応表(テーブル)を閲覧すること自体ができません。
結局,メールアドレス,電話番号は,特定の個人を識別できない個人情報に該当しない,という結論になります。

3 『究極の個人情報DNA』→連結可能性で決まる

遺伝子・DNA・ゲノムの検査テクノロジーが急速に発展してきています。
そこで遺伝子情報の法的な扱いが問題になることが増えています。
『個人情報』に該当するかどうかという法解釈論です。
これについては別記事で説明しています。
詳しくはこちら|遺伝子情報×『個人情報』該当性|遺伝情報保護ガイドライン

4 顧客へのパンフレット送付のためには承諾が必要

<発想>

以前商品,サービスを購入いただいたお客様の記入された『お客様カード』が保管してある
このお客様にパンフレットなどを送付したい

この場合,事前に承諾を取り付けておく必要があります。
承諾がない場合,目的外使用となります(個人情報保護法18条)。

<申込用紙やネット上の入力フォーム上での承諾獲得の例>

『ご記入された個人情報を,当社の商品案内の送付に利用させてよろしいでしょうか □はい □いいえ』

また,電話で送付の承諾を取り付けることも可能です。
その場合,証拠(記録)として,データベースや顧客の台帳などに,送付の承諾(送付希望)の欄を設け,ここに記録しておくと良いでしょう。
また,実際にパンフレットなどを送付する際は,その送付物の中に,送付中止の要請をする場合の連絡先を載せておく必要もあります。

5 個人情報保護法;名刺交換→DM送付

<発想>

異業種パーティーで名刺交換をした
名刺記載のオフィスに,ダイレクトメールを送付したい

この場合も,承諾が必要となります。
承諾がない場合,目的外使用となります(個人情報保護法18条)。
名刺交換の際に,『当社より商品のご案内をお送りしたいです』と言って,同意してもらっておく必要があります。
後日,お会いしたお礼のために電話して,その際,ご案内送付の断りを入れることもありましょう。
なお,先方から,営業関連の送付・連絡はしないで欲しいという要請を受けた場合は,送付等を中止して,しっかりと記録・管理しておくべきです。

6 個人情報保護法;親会社・子会社間での情報流用

<発想>

子会社をつくり,一部の事業を親会社から子会社に移した
親会社が持っていた顧客情報を子会社に移して,子会社からダイレクトメールを出したい

顧客情報を渡す,という部分について,原則として違法となります。
個人情報の第三者提供,ということになります(個人情報保護法23条)。
次のように承諾を得れば適法となります。

<顧客情報を子会社に渡す場合の承諾獲得の例>

親会社から顧客にダイレクトメールを出す
次のように返信を要請する
《記載例》
○○社(子会社)が業務を引き継ぎました。
○○社から商品のご案内を差し上げてよろしいでしょうか。
□はい □いいえ

7 個人情報保護法;年賀状,暑中見舞い,お中元,お歳暮類

<発想>

お客様に,年賀状,暑中見舞い,お中元,お歳暮などをお送りしたい
当然,これ自体の承諾は取っていない

これは違法ではないでしょう。
あくまでも,社交辞令・挨拶の範囲内と思われるからです。
個人情報保護法上の扱ったという対象に入らないと解釈されます。
ただし,積極的に『送付しないで欲しい』と要請を受けた方に送るのはもちろん違法となります。

8 個人情報保護法違反の罰則

個人情報保護法では以上のような規制が規定されています。
これに違反した場合,一定の罰則の対象となります。
これについては別記事で説明しています。
詳しくはこちら|個人情報販売の原則禁止,削除要求|『個人情報取扱事業者』

条文

[個人情報の保護に関する法律;個人情報保護法]
(定義)
第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2〜6(略)

(利用目的による制限)
第十六条  個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2  個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3  前二項の規定は、次に掲げる場合については、適用しない。
一  法令に基づく場合
二  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(取得に際しての利用目的の通知等)
第十八条  個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2  個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3  個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4(略)

(第三者提供の制限)
第二十三条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一  法令に基づく場合
二  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2〜5(略)

(勧告及び命令)
第三十四条  主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2  主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
3  主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。

第五十六条  第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。