1.名刺アプリが名刺データを法人契約で共有化・検索可能化に
最近ネット記事でつぎのような興味深い記事を読みました。
『Sansanは、同社が展開している名刺アプリ「Eight」の企業向け有料プラン「企業向けプレミアム」において、社内のEightユーザー同士で共有名刺の検索を可能とする機能拡張を、2月22日付けで開始した。』
(「名刺アプリ「Eight」の企業向けプレミアムで、社内の共有名刺の検索が可能に」cnet_japan より)
2.共有化したデータをどこまで利用できるか?
ところで、名刺のデータを社内で共有化し検索できるようになることは素晴らしいですが、名刺のデータを共有化した企業の社内各部署は、いかようにもこの共有したデータを利用できるのでしょうか。
名刺には会社の従業員等の氏名、所属会社、所属部署、職位などが掲載されており、生存する個人に関する情報なので個人情報に該当します(個人情報保護法2条1項1号)。従業員は個人情報取扱事業者に所属するので、法第4章が個人情報取扱事業者の責務として定めるところに従います。
名刺交換は従業員本人と他社の従業員との個人情報の取得の場面といえます。法は個人情報を取得する際には、原則としてその個人情報の利用目的を本人に通知または公表しなければならないとしています(法18条1項)。
ただし法18条4項各号はこの例外規定を置いており、その4号は、「取得の状況からみて利用目的が明らかであると認められる場合」としており、名刺交換はこの4号に該当し、名刺交換を行う従業員等は、いちいち利用目的の通知・公表を行うことは不要となります。
この点、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」40頁の「事例2」は名刺交換の事例は法18条4項4号に原則として該当するとして、つぎのように説明しています。
『一般の慣行として名刺を交換する場合、書面により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いることは自明の利用目的に該当しない場合があるので注意を要する。)』
したがって、名刺のデータを社内で共有化し検索可能にした企業は、その企業の事業に関連する「今後の連絡のため」であれば、そのデータを利用することができます。
しかし、例えば法人向け事業の担当者同士で名刺交換をしたのに、その相手方担当者に、プライベートな個人向け商品の販売促進のために名刺データを用いることは、「今後の連絡」という利用目的外なので許されないことになります。
3.EightのSNS
なお、Sansan社の名刺アプリ「Eight」は、クラウド上に名刺録を作成・管理するサービスだけでなく、名刺交換を行った従業員同士をつなぐSNSを展開しているそうです。つまり、Sansan社のサーバー上には、Facebookなどのような実名制の大規模な個人情報DBが存在することになります。
ところで、Facebookなどは、サイト上のプライバシーポリシーにおいて、個人情報の利用目的などをあらかじめ公開した上で、従業員等の本人が同意のうえで自分の情報を入力することにより個人情報を取得しています。しかし、Sansan社の「Eight」のSNSは、本人が名刺交換をした「相手方」の個人情報を、相手方への利用目的の通知・公表なしに収集しており、個人情報の適正な取得を求める法17条に抵触するおそれがあります。
また、名刺交換した名刺を電子的な名刺録にすることは、法18条4項4号についてガイドラインのいう「自明な利用目的」に含まれるといえますが、名刺交換したあとにプライベートの時間にSNSで親睦を深めること(例えば転職活動など)が、名刺交換の「自明な利用目的」にあたるか否かも疑問です。
■参考文献
・宇賀克也『個人情報保護法の逐条解説 第5版』144頁
・菅原貴与志『詳解 個人情報保護法と企業法務 第7版』220頁