アンケート実施で留意するべき個人情報の取り扱い

アンケートの実施においては、個人情報を取得する場面が多々あります。そこで取得する個人情報は、流出等の事故が発生しないよう、厳重に取り扱う必要があります。今回は個人情報をアンケートで取得するにあたって、遵守するべき規則や制度を中心にご紹介します。

地域別の規制の違いに注意

個人情報の取り扱いにあたっては、地域ごとに規制の違いがある点に注意することが必要です。日本国内での取り扱いにおいては、個人情報保護法によって、その取り扱いにおいて事業者が注意すべき点や義務が取り決められています。一方で、諸外国においても、そのような個人情報の扱いにおける規制は存在しており、これらは日本企業にとって無関係なものではありません。今回の記事では、EUにおけるGDPR (EUEU一般データ保護規則）を日本以外の規制の例として取り上げます。

個人情報保護法で定められた義務

個人情報保護法において、個人情報とは生存する個人に関する情報で、以下のようなものを指します。

・氏名、生年月日等
・個人識別符号（マイナンバー、運転免許証の番号等）

これらの情報を体系化し、検索できるデータベースを事業に用いている業者を個人情報取扱事業者としています。個人情報取扱事業者は、以下のようなことが義務付けられています。

・個人情報を取り扱うに当たっては、その利用の目的をできる限り特定し、変更する場合には変更前の目的と関連性を有すると合理的に認められる範囲を超えてはならない。
・個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知・公表しなければならない。
・個人データを従業員や委託先に取り扱わせるに当たっては、安全管理のために必要かつ適切な監督を行わなければならない。
・あらかじめ本人の同意を得ずに個人データを第三者に提供してはならない。
・本人より開示等の請求があった場合には、これに対応する。

上記の通り、アンケートの実施に際して個人データを取得する場合は、その目的を回答者に前もって通知し、回答を得た後にも監督責任をもって厳重に取り扱う必要があります。

個人情報取扱のための管理体制を構築したうえで、ポリシーをまとめ、アンケートの回答前に提示する形式をとりましょう。

GDPR（EU一般データ保護規則）への対応は？

EUにおいては、GDPR（EU一般データ保護規則）が2018年より施行されました。これは、EU域内の事業者のみならず、域外の事業者も対象となる規則であるため、日本の事業者も対応する必要があります。違反した企業に対しては厳格な罰則を定めている観点からも、注意が必要です。

GDPRとは？

GDPRは、全ての者が自己に関する個人データの保護の権利を有しているという原則のもとに、EU居住者の個人データの取り扱いについて定めた規則です。データを収集・使用する組織や、データの対象となる個人のいずれかがEU域内に位置している場合、適用となります。

日本の個人情報保護法では対象としないIPアドレスやクッキーといったオンライン識別子についても、個人データの一部としている点に留意する必要があります。

個人データの処理や、移転に関するプロセスに関して、特に具体的な規制が存在します。その他、監督機関の設置や、アクシデントの発生時の対応について規制されています。

日本は、2022年1月末時点で欧州委員会より十分なレベルの個人データ保護を行っていると認められており、個人データ取り扱いの手続きが簡略化されていますが、個社ごとに対策が必要な点には変わりありません。

留意するべきポイント

先述のように、日本は十分性の認定を得ているため、EU域内から個人データを持ち出すことに煩雑な契約は不要になっていますが、アンケート等を通して得た個人データの取り扱いには注意が必要です。

開設当初はEU域内からのアクセスを想定していないECサイトなどにおいても、英語対応を行うなどしてEU居住者がユーザーとなった場合には、GDPRの対象となります。アンケートの実施においても、日本語のアンケートであってもEU域内からのアクセスを想定する必要があるでしょう。

日本でのビジネスを主軸としている場合でも、積極的にGDPRへの対応を行うことが、ビジネス上のリスクを軽減することに繋がります。

個人情報の取り扱いに改めて一層の注意を

アンケートの実施において、個人情報の取得を要するケースは数多くあります。一方で、今回確認したように、個人情報の取り扱いには規制が多く、慎重さを要します。社内における取り扱いルールや体制を前もって確立し、ビジネスを前進させるアンケートの実施に繋げましょう。

• アンケート