はじめに
どのように潜在的な顧客にアプローチするか。
顧客開拓はインフラを扱っていようがアプリを開発していようが、SIERだろうがSESだろうが、あらゆる事業会社に不可欠である。
そこで名簿屋さんである。
世の中には名簿屋さんという職業があり、実に様々な名簿を販売している。
特定の業種に絞った名簿や、特定の属性の個人の名簿を販売している。
こうした名簿を入手したら、潜在的な顧客へのアプローチの足がかりとなりそうだ。
ただ、情報漏えいに関するニュースを見ると、漏洩させた従業員が小遣い銭欲しさに名簿屋に顧客情報を売っていたなどという報道がよくされている。
買っていいんだろうか、名簿。
そもそも購入して良いのか、また購入するとなった場合の注意点などについて、整理してみる。
筆者は資格を持った弁護士ですが、本稿は分かり易さ優先で書き起こしているため、例外的場面に目をつぶるなど、厳密さにはいささか欠けます。
今現在まさに問題に直面している方の役にも立つとは思いますが、そのような方の場合、実際に弁護士に相談したほうが絶対に良いです。
そもそも個人情報保護法の規制対象になるのか
個人の名簿は規制対象
純粋に個人の情報が集められた名簿が規制対象になるのは、感覚的に頷けるだろう。
聞くところによると、アダルトグッズを購入した人の名簿や、夢見がちな老人の名簿(詐欺のカモリストに転用される)などというものも売られているらしい。 いかにも物騒である。
是非適正な規制をしてほしい。
法人の名簿は規制されるか
では、法人に関する名簿はどうか。法人に関する名簿も個人情報保護法による規制対象になるのか。
この点、個人情報保護法において、個人情報とは、「生存する個人に関する情報」で、特定の個人を識別することができるもの等をいうとされる(2条第1項)。
法人そのものは「生存する個人」ではないから、事業者名や業種、事業所の所在地、電話番号などにとどまるのであれば、個人情報にあたらない。
しかし、名簿中に代表者名や担当者名が含まれてくると、「生存する個人に関する情報」を含むので、個人情報にあたりうるとされる。
多くのリストは代表者名や担当者名が含まれていると思われる。法人に関する名簿が個人情報にあたることも多いだろう。
個人情報保護法上の規制
個人情報保護法の規制が及ぶとなると、名簿の買取りにはどのような規制がかかるのであろうか。
この点、名簿の購入自体は違法ではない。
ただ、購入する場合、購入者に課せられる義務がある。
課せられる義務は次の2つ
課せられる義務は次の2つである。
- 確認義務
- 記録義務
以下ではこれらの義務について少し具体的にみてみよう。
確認義務
確認すべき事項
受領者は、第三者から個人データの提供を受けるに際して、次の事項を確認しなければならないとされる。
- 第三者の氏名等
- 個人データ取得の経緯
第三者の氏名等
確認する内容
このうち第三者の氏名等について、より具体的には下記について確認する必要があるとされる。
- 当該第三者の氏名または名称
- 住所
- 法人にあっては、その代表者の氏名。法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人の氏名。
確認する方法
これらを、現実にどう確認するのか。
具体的には、登記事項証明書や登記情報提供サービスにより、登記されている事項を確認する方法、HPなどで名称、住所、代表者氏名を公開している場合においては、その内容を確認するなどの方法によることになろう。
個人情報保護委員会のガイドラインによると、第三者から口頭で申告を受ける方法や、所定の申込書等に記載させた上で提出を受ける方法などでも良いとされている。
個人データ取得の経緯
確認する内容
個人データを買い取るに際しては、その名簿屋さんがどのようにその個人データを取得したのか、その経緯を確認する必要がある。
提供を受けようとする個人データが適法に入手されたものではないと疑われる場合に、利用や流通をできるだけ防止するためにこのような規制がされている。
具体的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族友人等の知人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか等)などを確認する必要があるとされている。
確認する方法
では、具体的には、この確認はどのような方法によるのだろうか。
これについては、提供者が別の者から個人データを買い取った場合には売買契約書等を確認する、提供者による取得の経緯が示されている提供者と受領者間の契約書面を確認する、提供者が本人の同意を得ていることを誓約する書面を受け入れる、提供者のウェブページで公表されている利用目的、規約等の中に取得の経緯が記載されている場合にその記載内容を確認するなどの方法によるものとされている。
記録義務
個人データの第三者提供を受けた者の記録義務の内容については、授受の類型ごとに記録すべき事項が定められている。
名簿屋から名簿を購入する場合、通常オプトアウトという方式により個人データを取得することになる。
オプトアウトとはなにか
個人情報保護法上は第三者提供には原則本人の同意が必要
この点、個人データを第三者に提供するためには、原則として本人の同意が必要である。
しかし、名簿屋は当然のことながら基本的にこのような同意を得ているわけではない。
本人同意原則にはいくつかの例外があり、このうちオプトアウトに関する例外規定を名簿屋は利用している。
オプトアウトとは
オプトアウトとは、本人の求めに応じて、個人データの第三者への提供を停止するとする場合をいう。
個人情報保護法の原則上は事前の本人同意が必要である。
しかし、事前に同意を得るのではなく、本人の要望があった場合に第三者提供をとりやめるという方式である。
本人のやめてほしいとの要望がなければ、同意を得ることなく第三者に提供できてしまう。
このような原則と例外が逆転した方式をとるためには、法の定める一定の事項をあらかじめ本人が容易に知りうる状況に置くなどし、個人情報保護委員会に届け出ることが必要とされている。個人情報保護委員会はこの届出にかかる事項を公表する。
オプトアウトによる場合の記録義務
オプトアウトにより第三者提供を受ける場合、下記について記録する必要がある。
- 提供を受けた年月日
- 第三者の氏名または名称及び住所並びに法人にあってはその代表者の氏名、法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人の氏名
- 当該第三者による当該個人データ取得の経緯
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
- 個人情報保護委員会により届出にかかる事項が公表されていること
オプトアウトにより個人データを取得した場合には、記録の保存期間は3年とされている。
利用目的の確認
上記のように確認、記録の義務を履行すれば、名簿を購入することはできる。
もっとも、取得した個人情報については、取得した業者において特定された利用目的の範囲内で利用する必要がある。
このため、プライバシーポリシーなどで定められた利用目的の範囲内かについては、確認しておく必要があるだろう。
違反した場合
個人情報保護委員会から勧告がされ、違反事実が公表されるおそれがある。
もっとも、個人情報保護法に違反していなくても、結果的にその名簿が違法なものであった場合、流出先として自社の名前が報道される可能性もある。
前述のカモリストなどはそもそも取得しない方が良いだろう 。