本人同意が必要な場合

基本的に何かしらの個人情報を取得する場合は、利用者に利用目的を具体的に明示し通知を行い、同意を得るなど本人の意思を確認する必要があります。
同意を得る方法としては、申込書など個人情報を記入するものに利用目的を明示し、きちんと理解いただいた上で同意の意思を記入してもらいます。ここで同意を強要したり、他人や利用者の子どもに代わりに同意の意思を記入させるなどの行為は、適切ではないので気を付けましょう。

本人の同意が不必要な場合

個人情報を取得する場合は本人の合意を得る必要がありますが、以下の場合は、通知・公表する必要はありません。

①法令に基づく場合

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

引用:個人情報保護法ガイドライン

同意を得ていない場合

個人情報を取り扱う事業者は、上記の「本人の同意が不必要な場合」を除いて、あらかじめ本人の同意を得ていない場合は個人情報を取り扱うことはできません。
同意を得ていない場合、利用者が想定していない目的で利用されてしまった際にトラブルになる可能性があるほか、それが原因で会社の社会的信用も失いかねません。

また、事業者が個人情報保護法に基づいて活動しているかの状況確認は、個人情報保護委員会が監督します。監督に従わない場合は罰則が適用される可能性もあります。

【罰則】 ●国からの命令に違反した場合:6ヶ月以下の懲役又は30万円以下の罰金

●虚偽の報告等をした場合:30万円以下の罰金

●従業員等が不正な利益を図る目的で個人情報データベース等を提供、 又は、盗用した場合(個人情報データベース等不正提供罪):1年以下の懲役又は50万円以下の罰

引用:改正個人情報保護法の基本

 情報の取り扱いに注意しよう

事業運営において、サービス利用者の個人情報を取得する機会は年々増えています。また、インターネットやSNSはもちろん、スマートデバイスやAI技術など新しい情報化社会の流れが生まれる度に、個人情報の範囲も多様化しています。

事業者によって事業内容や取り扱う個人情報は異なり、また利用者に開示する利用目的や管理の方法もそれぞれです。健全な事業運営を行うためにも、全社的なコンプライアンス研修などを行い、社員一人ひとりが意識的に情報の取り扱いに注意をはかり、適切に管理する意識を持つよう促すことも大切です。

参考:個人情報保護委員会 個人情報保護法ハンドブック

参考:『どうなるどうする個人情報保護がよくわかる <改正対応>』