直接書面取得とは
Pマークを取得する事業者は、本人から直接書面で個人情報を取得する際には、原則として必ず同意を得る必要があります。直接書面取得とは、文字の通り「直接」、「書面」で取得する場合です。書面はもちろん紙の場合もありますが、Webサイトのフォームなどから取得する場合も「書面」に含まれます。電話などで取得する音声の場合は含まれません。また、直接でない場合は、委託元などから個人情報を委託されるケースなどが当てはまります。
直接書面取得時に告知する事項
Pマーク上では、直接書面で個人情報を取得する際に告知する項目が明確に決められています。これはJIS規格で定められているので、省略することはできません。それぞれどのようなことを告知すればよいのか簡単に解説していきます。
a)事業者の氏名又は名称
b)個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先
事業者の氏名又は名称は説明は不要かもしれませんが、個人情報保護管理者の氏名又は職名には注意が必要です。ここでは「個人情報保護管理者」という表現だけでは不十分で、実際の担当者の氏名か役職のどちらかを記載しなければいけません。
c) 利用目的
利用目的が最も重要となります。取得した個人情報をどのように利用するのかを記載する必要があります。可能な限り詳細に記載するようにしましょう。
d) 個人情報を第三者に提供することが予定される場合の事項
― 第三者に提供する目的
― 提供する個人情報の項目
― 提供の手段又は方法
― 当該情報の提供を受ける者又は提供を受ける者の組織の種類,及び属性
― 個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には,その旨
取得した個人情報を第三者に提供する場合はその詳細を記載します。委託の場合は委託する内容のみ記載すればよいでしょう。
f) 3.4.4.4~3.4.4.7 に該当する場合には,その求めに応じる旨及び問合せ窓口
詳細はJIS規格を確認する必要がありますが、ここでは取得する個人情報に対しての各種問合せや請求があった際の連絡先などの窓口を記載する必要があります。
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合には,その旨
ここでは、個人情報を提出することはあくまでも任意であるが、提出しないことによってどのような不利益があるのかを記載する必要があります。また、「本人が容易に認識できない方法」とはWebサイトのクッキーなどの情報が例として挙げられます。
告知の方法
Webサイトのフォームなどから個人情報を取得する場合は、上記が含まれた内容が確認できるように、入力フォームのあるページに記載する必要があります。また、ユーザが読み飛ばしてしまわないよう、留意する必要があります。紙で取得する場合は、上記が含まれた内容を同意書としてサインをして提出してもらうのが一般的です。このように個人情報を取得する際にはユーザーに伝える項目が多いため、漏れのないように注意することが大切です。記載方法などについて不明な点は、他社のホームページを参照したりコンサル会社に確認したりするとよいでしょう。