今回は前回に続き利用目的について書きたいと思います。
前回は利用目的とは一体何なのか?という視点で書かせてもらいましたが、今回はその利用目的を一体どこまで書き起こしていくのか。という視点で書かせてもらいます。
プライバシーマークの規格には「出来る限り具体的」にということしか本文には書かれていません。
これでは一体どこまでをもって具体的に決めているのかがさっぱり分かりません
これについてプライバシーマークの規格解説には「“事業活動に用いるため”,“提供するサービスの向上のため”,又は“マーケティング活動に用いるため”と表現することは,利用目的を特定したことにならない。」(以上、JISQ15001:2006解説より抜粋)と書かれています。
何をもって具体的とは書いていませんが、最低限上記の書き方では具体的とは言えないよ。と書かれています。
逆にいうとこれ以上であれば、ある程度具体的ではあると判断されることが多くあります。
利用目的の例をあげるとすれば、履歴書や職歴書の利用目的なんかが分かりやすいと思います。
恐らくどこの会社にでも存在する個人情報だと思います。
利用目的は恐らく「採用選考のため」、「入社後の従業員としての管理のため」ではないでしょうか。
これまでの私の」経験上このレベルの利用目的の特定で「出来る限り具体的」と判断されます。
このレベルと良いのです。
あるお客様は一つの個人情報に対して細かく何個も列挙されてました。その方法も一理あると思います。
ただ、私は経験上その記載方法はお止めしました。
なぜかと言うと、あまりにも具体的過ぎてそこに書かれていること以外のことに利用するとなると目的外利用になり、かなり面倒な手続きを踏まなければならない事態に陥るからです(この内容はまた別の機会にお話します)
つまり、一つの個人情報に対してA,B,Cと利用目的を個別具体的過ぎるくらいに列挙してしまうと仮にA~Cに類する利用だがDという利用目的が発生した場合は利用目的が変わってしまった。と規格上解釈されます。
だからこそ、具体的に書き過ぎず多少ぼやけさせておいた方がプライバシーマークの仕組みを運用する上ではプライバシーマークを取得する企業の負担は軽減できることになります。
プライバシーマークを取得する上でこのあたりはかなり重要でもあります。
現在取得取組中でなかなか思うように進まない状態にある方、途中からでもコンサルティングは可能ですのでお気軽にお問い合わせ頂ければと思います。