*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています。
法第27条第1項では「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と定められており、個人情報を第三者に提供する場合は、原則として、あらかじめ本人の同意を得る必要があります。
この「本人の同意」について、個人情報取扱事業者等に係るガイドライン(以下、「ガイドライン」といいます。)2-16に沿ってみていきます。
「本人の同意」とは、本人の個人情報が事業者によって示された取扱い方法で取り扱われることを承諾する旨の意思表示をいいます。*
「本人の同意を得」るとは、本人の承諾する旨の意思表示を事業者が認識することをいい、事業の規模及び性質や個人データの取扱状況等に応じ、本人が同意の判断をするために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければなりません。
*同意において、「明示の同意」以外に「黙示の同意」が認められるか否かについては、個別の事案ごとに、具体的に判断することになります(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下、略)Q1-61)。
本人の同意を得ている事例として、ガイドラインには以下があげられています。
| 【本人の同意を得ている事例】 事例1)本人からの同意する旨の口頭による意思表示 事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領 事例3)本人からの同意する旨のメールの受信 事例4)本人による同意する旨の確認欄へのチェック 事例5)本人による同意する旨のホームページ上のボタンのクリック 事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力 |
本人に対して、一定期間内に回答がない場合には同意したものとみなす旨のメールを送り、その期間を経過した場合等は、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によるとはいえず、一定期間回答がなかったことのみをもって一律に本人の同意を得たとすることはできませんので、注意が必要です(Q1-60)。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。
お問い合わせフォームはこちら
