本人同意

個人情報を扱う自治体や事業者が「この情報を他の目的に使ってよいか」「外部に渡してよいか」を判断する場面で、その適法性を分ける鍵になるのが本人同意である。個人情報保護法は、あらかじめ特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合や、個人データを第三者へ提供する場合に、原則として本人の同意を得ることを求めている。同意は、本人が取扱いの内容を理解したうえで認める意思の表示であり、利用目的を明示せずに得た包括的な承諾や、断る機会のない既成事実の押し付けは有効な同意とはみなされない。一方で、法令に基づく場合、人の生命・身体・財産の保護に必要で本人同意を得ることが困難な場合などには、同意がなくても取扱いが認められる例外が定められている。自治体の窓口では、申請書の利用目的欄や同意取得の様式をどう設計するか、子どもや判断能力が十分でない人の同意を誰がどう確認するかが、苦情や情報漏えい時の責任を左右する実務上の論点になる。

本人同意が要件となる場面と例外

個人情報保護法は、利用目的の達成に必要な範囲を超えて個人情報を取り扱うとき（目的外利用）と、個人データを第三者へ提供するときに、原則としてあらかじめ本人の同意を得ることを求める。さらに、要配慮個人情報の取得には原則として取得段階での本人同意が必要であり、外国にある第三者への提供では参考情報を提供したうえでの同意が要件となる。一方、①法令に基づく場合、②人の生命・身体・財産の保護に必要で本人の同意を得ることが困難な場合、③公衆衛生の向上や児童の健全育成に特に必要で同意を得ることが困難な場合、④国の機関等への協力で同意を得ると事務遂行に支障を及ぼすおそれがある場合などには、本人同意がなくても取扱いが認められる。自治体の現場では、どの取扱いが同意を要し、どの場面が例外に当たるかの切り分けが、適法な情報共有の前提となる。

有効な同意の要件と取得方法の設計

同意が有効であるためには、本人が取扱いの内容（利用目的・提供先・提供する情報の範囲など）を認識できる状態で、自らの意思に基づいて承諾していることが必要である。利用目的を示さずに得た包括的な承諾や、約款の片隅に紛れ込ませて断る機会を実質的に与えない取得は、有効な同意とは評価されにくい。同意の取得方法は書面への署名に限られず、口頭・メール・ウェブ上のボタン操作など取扱いの性質に応じた方法が認められるが、後日の紛争に備えて同意の事実と範囲を記録・保存しておくことが実務上重要になる。未成年者や判断能力が十分でない本人については、年齢や事理弁識能力に応じて法定代理人の同意を得ることが適切とされ、自治体の申請様式ではこうした代諾の扱いも含めて同意欄を設計する必要がある。