経済産業省がECサイト運営のガイドラインとする「電子商取引及び情報財取引等に関する準則」の概要を以下に掲載します。
【論点】
インターネットを通じて利用者から個人情報を取得する場合、法的にどのような問題があるか?
インターネット通販、情報検索サイト、インターネットによる各種アンケートなど、インターネットを通じて利用者から直接個人情報を取得して、これをデータベース化して利用するケースが増えています。
こうしたインターネットでの個人情報の収集では、利用者が個人情報を取得されることを認識できない方法で利用履歴等を取得される場合もありえます。
個人情報保護法第15条では、「事業者は個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならない。」とし、同法第18条では個人情報を取得する場合は、本人から直接取得する場合は利用目的を明示し、それ以外の方法で取得した場合は利用目的を通知または公表しなければならないと定めています。
クッキーを用いて利用者のウェブサイトの利用履歴を収集する場合には、特定の個人が識別されない方法で情報収集をする場合は、同法の利用目的明示義務や通知・公表義務は及びません。しかし、こうした利用履歴を会員登録などの特定の個人を識別することができる情報と照合してマーケティング等に利用する場合には、その旨を利用者に対してわかりやすい形で明示していなければ同法第18条に違反するものとされる可能性があります。
また、同法第17条は「事業者は偽りその他不正の手段により個人情報を取得してはならない」と定めています。以下のようなケースは不正の手段とみなされる可能性が高くなります。
(1)個人情報を取得しようとしていることや取得の目的を偽って個人情報を取得すること。
(2)個人情報を取得していることを本人に対して隠蔽して本人から個人情報を取得すること。
(3)情報検索サイト事業者が利用目的を明示せず、検索履歴の情報と特定個人を識別できる情報を結合して利用する場合。
(4)通販サイト事業者が利用目的を明示せず、サイト閲覧履歴の情報と商品購入の際の特定個人を識別できる情報を結合して利用する場合。
(5)スパイウェアによる本人の同意を得ない個人情報の収集。