個人情報を取得する際には何のためにその個人情報を利用するのかという利用目的の通知が必ず必要になってきます。
その取得した個人情報の利用の目的を変えることは認められるのででしょうか。
結論を言ってしまうと変更することは可能です。
ですが、会社の判断だけで勝手に利用目的を変えて個人情報を利用することはできません。
所謂「目的外利用」にあたり、プライバシーマークの中では行っていけないことになります。
プライバシーマークの仕組みの中では利用目的を変えたい場合はまずは社内できちんと利用目的を変えて利用する正当性があるかを検討して個人情報保護管理者の承認を得る必要があります。
そのうえで情報の本人へ同意を求める必要があります。
その際ですが、単に利用目的を変更したいですけど良いですか?と聞くだけではなく、規格の中では同意を求める際には規格の3.4.2.4a)~f)の事項と同等以上の内容を通知し、同意を得なければならない。と記載されています。
要するに個人情報を直接書面で取得する際に同意を得る内容に近いものを本人に通知して同意を得なければ利用目的の変更は出来ないことになっています。
また、どこからが利用目的の変更にあたるかですが、企業内のある部門が取得した個人情報を他の部門が使用する際にも扱い方によっては利用目的の変更が必要になってくることがあるので注意をする必要があります。