1 『個人情報』の定義|個人を識別できる・連結可能匿名化
2 個人情報販売の原則禁止|『個人情報取扱事業者』・名簿業者
3 名簿業者からの名簿購入自体は違法ではない
4 個人情報販売の適法要件(オプトアウト)
5 個人情報の削除要求
6 個人情報利用の有用性
7 個人情報保護法違反の罰則

1 『個人情報』の定義|個人を識別できる・連結可能匿名化

『個人情報』については,扱いに関して個人情報保護法の規制があります。
まず『個人情報』の内容ですが,法律上細かい定義が規定されています。
大雑把に言うと『個人を識別・特定できる情報』です。
『匿名化』された場合については,状況によって判断が異なります。
個人情報の定義については別記事にまとめてあります。
(別記事『定義』;リンクは末尾に表示)

2 個人情報販売の原則禁止|『個人情報取扱事業者』・名簿業者

個人情報を取得し,これを売却するビジネスが存在します。
俗に『名簿業者』とか『名簿屋』と呼ばれるものです。
当然,このような事業をする上で,一定のルールはあります。
ただし,『個人情報を売買すること』を一律に禁止するルールはありません。
関係するルール(法律)として,個人情報保護法23条があります。

<個人情報の『第三者への提供』に関する規制>

あ 規制対象

個人情報取扱事業者が個人データを第三者に提供すること(=禁止)
※個人情報保護法23条1項

い 『個人情報取扱事業者』の定義

『個人情報を5000件以上扱う者』
過去6か月の間に1回でも個人情報が5000件に達した場合に該当します。
※個人情報保護法2条,施行令2条

ここで整理しておきます。

<個人情報の販売の規制>

個人情報取扱事業者該当性 販売(第三者提供)の可否
該当する 禁止される(例外あり)
該当しない 禁止されない

3 名簿業者からの名簿購入自体は違法ではない

市販の名簿を利用すること自体は違法ではありません。
ただし,個人情報保護法18条2項で,個人情報取得の事実とその利用目的を通知することになっています。
また,今後の利用停止の要請を受け付ける連絡先を明記しておくべきです。
一般的に,送付された方は,どこで情報が渡ったのだろう,と疑問に思うこともあります。
情報源については法律上要請されていませんが,うまくダイレクトメールに盛り込むといろんな意味で良いと思われます。
なお,不正にリークした情報を元に作成された名簿を利用することは,当然,違法になります。

4 個人情報販売の適法要件(オプトアウト)

個人情報取扱事業者に該当しても,例外的に個人情報販売が違法にならない場合があります。
『本人からの要求があった場合に第三者提供を停止する』運用を行っている,などの条件を満たす場合です。
詳しく説明します。
例外的に個人情報の第三者提供(販売)ができる場合は,個人情報保護法23条2項に明記されています。
いわゆる『オプトアウト』と呼ばれている方式です。
オプトアウトの語義としては,元々,原則として,本人の関与なく情報が動くが,例外的に本人の要請があれば除外するという方式のことです。
まさに,個人情報保護法による第三者提供の条件が,本人の要請により除外するなので,オプトアウトと呼ばれています。
個人情報の第三者提供の条件をまとめます。

<個人情報の第三者提供(販売)の条件>

あ 提供停止措置

本人の要求があった場合に第三者提供を停止する運用を行っている

い 通知・了解事項

『通知,了解事項』(後記)について本人に通知or容易に知り得る状態に置いている
ホームページに掲載する,という方法が一般的である

<通知・了知事項>

・第三者への提供を情報の利用目的とすること
・第三者に提供される個人データの項目
・第三者への提供の手段又は方法
・本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

5 個人情報の削除要求

<事例設定>

ダイレクトメールが送付されてきている
リストから自分の情報を削除するように求めたい

あくまでも法律上のルールを説明します。
本人(情報主体)が,情報の訂正や削除を求める権利,について,個人情報保護法に規定があります。
単純に『送付されるのが嫌だから削除して欲しい』という要請に応じる法的義務はないことになります。
整理しておきます。

<情報の訂正や削除の規定>

あ 訂正・追加・削除

情報内容が事実ではない場合のみ
※個人情報保護法26条

い 利用の停止・消去

情報の利用方法(目的),取得方法に違反がある場合のみ
※個人情報保護法27条

6 個人情報利用の有用性

企業活動,例えば販売促進・宣伝において,個人情報を一切使えないとなったらどうなるでしょうか。
望ましい商品・サービスを,消費者が知らないままになってしまいます。
結果的に不便な生活を変えられない,ということにもつながります。
マーケティングという概念と同じことです。
企業の金儲けというネガティブな意味ではなく,創造した価値の伝達・説得経路,という趣旨です。
つまり,個人情報の利用は,悪用されたくないというのと利用は望ましいという2つの面があるのです。
そこで,ルールの内容としては,規制自由のバランスを取っているのです。
悪用を止めるために有用有益まで奪ってしまうのは良くない,という言い方もできます。
個人情報保護法1条の目的において,個人情報の有用性に配慮しつつと規定されているのは,そのような趣旨のことです。

7 個人情報保護法違反の罰則

個人情報保護法違反に対する罰則は次のとおりです。
個人情報保護法上の刑事罰と,それ以外の責任,リスクに分けてまとめます。

<個人情報保護法違反に対する罰則>

主務大臣が個人情報取扱事業者に対する次の内容の勧告等を行う
《勧告等の具体的内容》
・助言(33条)
・措置勧告(34条1項)
・措置命令(34条2項,3項)

措置命令違反=懲役(6か月以下)または罰金(30万円以下)(56条)
報告違反,虚偽報告=罰金(30万円以下)(57条)

<個人情報保護法違反に対する刑事罰以外の責任等>

・主務大臣の勧告
・主務大臣の命令
・民事的責任;損害賠償義務
別項目;個人情報漏洩;民事的責任
・レピュテーションリスク