個人情報収集実用問題

ありがとうございます。
まずはA航空会社の行動のどこが悪いのかをお話していきます。

第一に、中国の法律規定によると、個人情報処理業者は個人情報を収集する過程で個人情報を収集する目的、方法、範囲、具体的なルールを公開しなければなりません。

ご質問のケースでは、A航空会社は個人情報の収集目的を「航空会社の会員権の申し込み」としていましたが、あなたがA航空会社の収集した個人情報について質問したところ、航空会社はB銀行の”クレジットカードの申し込みも行う”ことを明らかにしました。

これは法律に違反しています。

第二に、中国の法律では個人情報の処理は必要性の原則に従うべきであり、個人情報の処理者は、処理の目的に応じて可能な限り最小限の範囲で個人情報を収集し使用すべきであると規定されています。

このケースでは、A航空会社が収集した個人情報は、お客様の氏名、生年月日、連絡先、身分証明書番号、職業、収入などですが、そのうち「氏名、連絡先、身分証明書番号」は、個人を特定して会員登録を申請したり、優待を与えたりするという処理目的を満たすのに十分であり、「職業・収入等」の情報は、その公開の目的上、必要ありません。

第三に、中国の法律規定によると、個人が同意を撤回した場合には処理者は対応する個人情報を削除する必要があります。

今回のケースでは、航空会社から「クレジットカードの申し込みが必要です」と言われたとき、あなたはすぐに断って帰り、航空会社の「会員権＋クレジットカード」というバンドルサービスモデルを受け入れないことを示しました。
つまり、航空会社の会員のために情報を記入することには同意しましたが、その後同意を撤回したということになります。

一方で、航空会社が個人情報の処理目的を開示しないことは違法です。

したがって、航空会社は、お客様から収集した個人情報を削除するか、匿名化すべきでしたが、それを適切に処理せずにB銀行に提供したことで、侵害のリスクを負うことになりました。

第四に、中国の法律規定によれば、個人情報を第三者に提供する個人情報処理者は、情報主体の同意を得て第三者の関連情報を知らせなければなりません。

本件では航空会社からB銀行のクレジットカードへの個人情報の利用について問い合わせがあったことを知らされた際に、明確に拒否して退席したため、航空会社がお客様の同意を得ずにお客様の個人情報をB銀行に提供したことにより、お客様の個人情報の権利がさらに損なわれる結果となっています。

分かりました。

1つ目は、スタッフの教育に関してです。
お客様の個人情報の権利・利益を保護する必要性をスタッフに認識させ、具体的なビジネスシーンで個人情報を収集する必要がある場合には、できるだけトーキングブックやフローチャートを含むコンプライアンス行動のガイドラインを提供するようにしましょう。

2つ目は、個人情報の取り扱いについてです。
個人情報の取り扱いプロセスを改善し、保管すべきでない個人情報を適時に廃棄することが重要です。

3つ目はデータの共有に関してです。
情報主体の同意を得ることや、第三者との権利・義務関係を明確にすることに留意する必要があります。

今回のB銀行の問題点は、大きく分けて2つあると思います。

一つは、個人情報の出所についてです。
中国の法律規定によると、個人情報の処理については情報主体の同意を得る必要があります。 このケースでは、B銀行が航空会社からお客様の個人情報を入手し、その情報を使ってお客様に連絡を取り、その過程でお客様の同意を得ることなく、クレジットカードの申し込みについて尋ねたため、侵害の危険性がありました。

もう一つは、個人情報の共有に関してです。
中国の法律[5]によれば、個人情報の間接的な収集者であるB社は航空会社との間で権利と義務について明確に合意せず、航空会社の情報源の合法性を把握していなかったため、侵害のリスクを生じさせました。

まず、B銀行は航空会社がデータの出所の正当性を保証し、それを適切な手段で証明することが必要です。
そしてB銀行が個人から有効な承認を得られるようにして、データの出所の正当性の審査を強化すべきでしょう。

協力交渉の初期段階では、航空会社の関連資格、行政処分を受けていないか、関連訴訟に巻き込まれていないかなどを事前に調査することもできます。

また、B銀行は航空会社との契約書等により権利・義務を明確にすることで、リスクをコントロールすることに留意する必要があります。