Cyber Security Intelligence Vox

ITmedia Newsによると『4月に開幕する2025年大阪・関西万博を運営する日本国際博覧会協会が個人情報保護方針の改正を検討していることが2月7日、分かった。』と報じている。

この報道では『チケット購入に必要な「万博ID」の登録で個人情報保護方針への同意を求められるが、取得する個人情報が幅広く解釈でき、利用目的が不明確だと有識者から指摘が挙がっていた。』と報じている。

個人情報保護法では、取得した情報の利用目的を「できる限り特定しなければならない」と明記されています。また、個人情報を多く収集すればするほど、管理リスクが高くなり、取得・管理・廃棄のサイクルが大変になります。

その意味では、このケースでは「取得」にあたって、リスクが発生したとも言えます。『SNSのパスワードに関する情報、顔画像や指紋などの生体情報、「要配慮個人情報」にあたる「障害の有無」といった医療情報も取得するとしている。』と、ここまで取得する行為自体が合理性に疑問が出て、「評判が悪くなる」という懸念すべきリスクが発生している、と言えると思います。

それでも取得理由が明確であれば、説明の中でリスク軽減を図る事が出来るでしょうが『策定時の協議内容などの経緯は「はっきりと分からない」としつつも「さまざまなイベントが想定されていて対応する必要があった」と弁明。弁護士などとの協議を経て「取得する情報は幅広く設定した」としている。』との報道から、不明確さが目立ってしまいます。

このケースから学ぶべきことは、自社（自団体など）が許容可能なリスク以上の個人情報の取得から廃棄までを実施していないか？を常に客観的に見るべきということかも知れません。

https://www.itmedia.co.jp/news/articles/2502/07/news169.html

万博協会、個人情報保護方針改正を検討　有識者「幅広く取得し利用目的も不明確」