先日、NTT西日本に総務省から業務改善命令が出されました。
ニュース等で既知の人も多いと思います。
電気通信事業者法の業務改善命令と、個人情報保護法の書面による厳重注意です。

個人情報の面ですと、今回のNTT西日本は「目的外利用」をしてしまったということのようです。

プライバシーマークでも代表的なリスクの1つに「目的外利用」が挙げられています。

企業として目的外利用を防ぐため、つまり「個人情報はその取得（同意）した目的のみに利用する」ことを徹底するにはどのようにしたら良いのでしょうか？

「教育する」「全従業員へ周知する」という事が考えられますが、これが徹底するのがなかなか難しいです。
ISMSも同様ですが、情報セキュリティを行う上で一番難しいのが全員への意識の浸透です。

今回のNTT西日本の件も、おそらく現場の社員の方は目的外利用をしていることを認識していなかったと思いますが、企業レベルで個人情報の取り扱いについて徹底するためには全従業員の認識を高めるために教育は必要だと思います。

PCの使い方のようにある程度はシステム的に制御できるところは良いのですが、それ以外のところでどのように統制をとっていくのかが難しいのです。

ケースによっては、個人情報が記された紙自体に「○○の目的以外の使用禁止」と記載している場合もあります。
上記の仕方ですと「利用しようとする時に、目に飛び込んで来てしまう」ので非常に有効です。

会社ごとで、または利用シーンごとで有効な方法は異なってくると思いますが目的外利用を防ぐ手段をそれぞれ真剣に考える良い契機になればと思います。