2023年01月09日
メール配信に関連した法律として、個人情報保護法を目的とした「個人情報保護法」と迷惑メールを規制するための「特定電子メール法」があります。
特定電子メール法に関しては、以下のリンクで詳しく解説しています。
特定電子メールの定義や特定電子メール法の内容についてはこちら
個人情報保護法では、メルマガをメール配信するために取得した個人情報を、適切に取り扱うための法律が定められています。
メール配信を行う企業や団体は、個人情報取扱い事業者としてこの法律を遵守する必要があります。
しかし、法律のことなので「具体的にどんな内容か?」となると、一口に説明するのは難しいものです。
そこで今回は、『メール配信担当者必見!個人情報保護法をガイドラインに沿って解説』と題し、可能な限りわかりやすく個人情報保護法について解説します。
ご注意
正確な法律内容を確認する場合は、必ず弁護士か行政書士に相談しましょう。各市区町村で行われている法テラス(無料)なども使い、知識を増やすこともおすすめします。
「メルマガの読者像を想定する」「メルマガ登録者を増やすための集客方法」「メルマガを運用するにあたっての目標設定」などについてはこちら
個人情報保護法の正式名称は「個人情報の保護に関する法律」といいます。
個人情報保護に関する基本的な考えができたのは、1980年にOECD(経済協力開発機構)が「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」を採択したOECD8原則とされています。
そして、1995年にはEU(欧州連合)がEU指令として「個人データ保護指令」を出し、加盟国は個人情報保護のための法律を作成することになります。
また、域外の第三国に対して個人情報を移転する場合も制限がかかるようにも、定めるようになりました。
こうした情勢の動き、国内における個人情報漏えいの問題、プライバシー保護への懸念から、日本においても2003年に個人情報保護法ができ、2005年には全面施行となりました。
この段落では、個人情報保護法に定められているルールなどについて、可能な限りわかりやすく解説します。
メール配信する際には、ユーザーからメールアドレス、氏名などある程度の個人情報を取得しないと、運用することができません。
では、メール配信の場合、どこまでが個人情報となるかについて解説します。
まず、個人情報の考え方として、個人情報保護委員会の『個人情報保護法ガイドライン(通則編)』によると、
”「個人情報」とは、生存する「個人に関する情報」であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」“
とされています。
メール配信の場合、法律上では個人情報として扱われるのは、主に「氏名、生年月日、連絡先、(住所、電話番号、メールアドレスなど)、特定の個人を識別できるメールアドレス、公にしているSNS」などがあげられます(※状況次第では写真、ビデオ画像、音声なども該当する可能性あり)。
あらゆる方法で取得した個人情報を事業で扱う場合「個人情報取扱い事業者」となります。
個人情報取扱事業者となると、個人情報保護法で規制され、個人情報の収集から使用、保管、廃棄までのサイクルを適切に管理する必要があります。
主に対応しなければいけないものとしては、
などがあります。
取得した個人情報の利用目的を明確に示す必要があります。
利用目的を本人に伝える、またはWebサイトなどの媒体で利用目的を公表する必要があります。
利用目的以外で使う際は、事前に本人からの承諾が必要となります。
原則として個人情報を本人の同意なしに、第三者に提供することができません。
例外として、法令または人の生命を保護する必要がある場合は、本人の同意なしでも第三者に提供することができます。
第三者に個人情報を提供した(または提供を受けた)場合は、提供先(提供元)、時期、取得した個人情報などを、原則3年間保存しなければいけません。
本人から個人情報の開示請求があった際の、対応を明確にしておく必要があります。
本人から個人情報に関する修正や利用停止などがあった場合は、開示請求する方法をWebサイトなどの媒体に公表し、対応方法を明確にしておく必要があります。
個人情報の漏えいが発生しないようにするために、保管や管理のルールを設ける、セキュリティ対策を万全にしないといけません。
また、万が一個人情報が漏れた場合は、個人情報保護委員会に届け出し、必要に応じて状況を公表する必要があります。
個人情報保護法は、過去、何度も法改正が行われてきました。
2022年4月の改正では、個人情報の運用に大きく影響がある変更がありましたので、かいつまんで解説いたします。
2022年4月の個人情報保護法改定では、個人情報の第三者提供に関する項目のルールが、より一層厳格化しています。
具体的には、オプトアウトで提供できる個人情報の範囲、個人情報保護委員会への届出内容などが変更と、いくつか改正されています。
では、詳細を見てみましょう。
まずは、第三者提供によるオプトインとオプトアウトへの考え方について、解説します。
2022年4月の改正まで、オプトアウトにおける第三者提供については、利用目的を記載しつつ、本人からの第三者提供への停止の申し出があった際は応じることを、事前に告知しておけば問題ありませんでした。
しかし、改正により(※)要配慮個人情報についてのオプトアウトができなくなったことについては、押さえておきたいポイントです。
個人情報の本人(ユーザー)から「第三者へ個人情報を提供しても良い」ことに対し、明確に同意を得ている場合、これをオプトインといいます。
個人情報の本人から「第三者提供の停止」の申し出がない限り、個人情報の第三者提供に対し、同意しているとみなすことを、オプトアウトといいます。
なお、(※)要配慮個人情報の場合は、オプトアウトによる第三者提供は認められません。
この場合は、本人の同意が必要となります。
※要配慮個人情報とは
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等のほか、身体障碍、知的障害、精神障害等の障害があること、健康診断その他の検査結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として、逮捕、捜索等の刑事事件の手続が行われたこと、本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと、が該当します。
ここでは、主に変更された箇所について解説します。
個人情報保護法が改正されたことで、オプトアウトで個人情報を第三者提供する場合には、個人情報保護委員会へ前もってオプトアウトで対応することの届出を出し、個人情報保護委員会を通じて公にすることが必要になりました。
届出しないといけない項目
となっています。
そのほかにオプトインの規定に関する変更点は以下のとおりです。
オプトインの規定に関する変更点
ここまで解説したとおり、個人情報は大切なデータのため、取扱いには細心の注意をはらう必要があります。
個人情報を適切に扱っていることを示すためには、「個人情報保護方針」や「個人情報取扱いについて」をホームページなどにしっかり明記し、ユーザーに安心感を与えなければいけません。
ネット界隈では、個人情報保護方針と個人情報取扱いについての、テンプレートや例文が紹介されていますが、内容が不足してる場合もありますので、可能な限り弁護士か行政書士に相談し、作成を依頼されることをおすすめします。
今回の記事はいかがでしたでしょうか?
メルマガをメール配信する際に得た、氏名、住所、電話番号、生年月日、そのほかの連絡先(メールアドレスなど)は個人情報にあたる可能性があるため、個人情報保護法に則って管理する必要があります。
つどつど、個人情報保護法は改正されているため、自力で「個人情報保護方針」や「個人情報取扱いについて」を作成するのも悪くありませんが、弁護士や行政書士に相談し、作成の依頼をする方が確実なので、プロに任せるのをおすすめします。
以上、『メール配信担当者必見!個人情報保護法をガイドラインに沿って解説』でした。
料金プランや運用のご相談まで、あなたの専属コンサルタントがサポートします
コンビーズのサービスをご紹介していただくと、あなたも紹介者さんもおトク
お客様が安心してご利用いただけるようセキュリティ対策もバッチリ。第三者認証であるISMS(ISO27001)を取得済み。