  |
http://takagi-hiromitsu.jp/diary/20080312.html#p02
Amazonとか個人情報について盛り上がってるみたいで、個人的にも少し気になったので復習がてらまとめてみた。
個人情報保護法の軽いまとめと、「注文履歴は個人情報には当たるのか?」という問題について。
昔読んだけど完全に忘れてるな。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
例を挙げると、
この三つのうち、メールアドレスのみで個人情報に当たるのは、3のみ(多分)。
1は、「タナカさんらしい」ということは分かるが、フリーメールで、かつタナカという一般的な苗字なので、「特定の個人を識別する」のは不可能。
2は多少絞られるものの、これも特定は不可能。
3は「hoge社のタナカイチロウ」だと分かるので、(ほぼ)特定が可能。なので個人情報に当たる。
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報の利用目的を示し、かつ、示した目的を超える用途で使用する場合、あらかじめ本人の合意を得なければならない。ということか。
第二十六条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
第二十七条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
つまり、内容が事実と反するという理由以外では削除義務はないということか。
まず、「注文履歴は個人情報には当たるのか?」という問題だが、おそらく当たらないのではないかと思う。
では、目的が示されているかというと、
お客様から集めた情報は、パーソナライズによってAmazon.co.jp でのお買い物をよりよいものにし、Amazon.co.jpのほかAmazon.com, Inc.およびその子会社がインターネットを通じて提供する店舗、プラットフォーム、情報検索等のサービスをお客様にご利用いただくために役立てられます。Amazon.co.jpは、お客様の個人情報を、ご注文の処理、商品・サービスの配送、お支払いの処理、注文・商品・サービス・販売促進、お客様のご要望への対応、お取引記録の更新、およびお客様のアカウントの一般的なメンテナンスのためのお客様との連絡、ウィッシュリスト、カスタマーレビューなどの表示、お客様が興味をもたれると思われる商品・サービスのご案内などの目的のために利用いたします。また、お客様の個人情報は、Amazon.co.jpの店舗・プラットフォームをより使いやすいものにし、インターネットを通じ提供する情報検索等のより豊富なサービスをお客様が利用できるようにするほか、詐欺やウェブサイトの悪用を検知・防止するためにも利用されます。更に、第三者に業務委託して技術、ロジスティクスその他の機能を代行させる場合にも利用されることがあります。
http://www.amazon.co.jp/gp/help/customer/display.html?nodeId=643000#info
一応示されてはいる。これでいいのかという気はするが・・・。Internet Archive Wayback Machineには、2006年12月22日に最初に登録されている。
ちなみに個人情報保護法が施工されたのは2005年4月1日。ウィッシュリストが始まった時期については記憶にない。いつだっけ?
つまり削除義務はやはり無く、Amazonの対応は一応正当なものだと思われる
しかし、削除義務はないにしても、
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
これが守られていると言えるのだろうか。
14
