法第16条第1項
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
法第23条第1項「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提。)。
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
その他、法第16条第2項・第3項第2号~第4号等に記述がある。
また「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、子どもが判断能力を有していないなどの場合は、法定代理人等から同意を得る必要がある。
【本人の同意を得ている事例】
事例1)同意する旨を本人から口頭又は書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)で確認すること。
事例2)本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること。
事例3)本人からの同意する旨のメールを受信すること。
事例4)本人による同意する旨の確認欄へのチェック
事例5)本人による同意する旨のウェブ画面上のボタンのクリック
事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
条文通りで、事例を参照するとよくわかります。
同意を得ていないと責任が問われます。
