個人情報の利用目的は、個人情報の保護の観点から重要なものです。
個人情報をあらかじめ定められている目的の範囲外で利用することは個人情報保護法違反となるからです。また、個人情報の利用目的は、「特定」されていなければならず、抽象的なものであっては足りないとされています。
一方で、企業ではサービスを拡張し、改善する努力を常に行う中で、顧客情報の利用目的を頻繁に変更することは負担なことから、利用目的を柔軟に考えられないか、常に模索する状況にあります。
そこで、実際の事例をもとに、「個人情報の特定」とはなにか、そして、どの程度「特定」することが必要とされるかについて、以下で解説したいと思います。
メール相談し放題! 柔軟・多彩なサポート内容!
個人情報の定義についておさらい
個人情報の定義は、個人情報保護法第2条に記載があります。
第2条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
個人情報の保護に関する法律より
この条文から、何らかの文字または記号などの記述であって、個人を特定することが可能な情報が広く個人情報として扱われています。
個人識別符号は、指紋や生体情報を指しています。個人識別符号も、個人を特定できる情報は、個人情報とされています。
個人情報の利活用の範囲
そもそも個人情報を利活用したい場合、どこまで自由に扱えるのでしょうか?
その範囲は企業活動において大きな課題となります。
この点、個人情報保護法は15条において、個人情報の利用目的を定めることを義務付けており、また16条では、定めた利用目的の範囲を超えた利用を原則禁止しています。
また、利用目的はあらかじめ個人情報を取得する前に個人情報の主体である顧客などの個人に知られていなければなりません。
つまり、個人情報を利活用する際は、きちんと利用目的を定め、その目的の範囲内でのみ扱えるというわけです。そのため、個人情報の利用目的は、企業のホームページなどで公表され、変更するのには同意が必要です。
企業の事業活動に必要であることや、個人情報の主体である個人の情報コントロール権を保護することが法律の目的なので、利用目的はどんなことでもよいわけではありません。
もちろん、事業内容に関係のない利用目的を定め(ex:名簿業者に販売するため)、個人情報を取得しようとすると、法律違反となる可能性もあるので注意が必要です。
個人情報の利用目的を特定しているとはどういうことか
個人情報の利用目的は、何に使われるか、情報主体である個人からわかる内容でないと困りますので、次のような内容では抽象的すぎて問題があると考えられます。
- 事例1)「事業活動に用いるため」
- 事例2)「マーケティング活動に用いるため」
特定とは、事業の内容によっては、定款等の事業の内容に照らして業種の明示だけでも足りる場合がまれにあります。
しかし、一般的には、業種の明示だけでは何に使われるかわからないので、個人情報の利用目的の特定があるとは認められません。
事業の何に使われるのか、どのように使われるのか、できるだけ具体的に個人情報の収集・取得の前に、公表されるか、情報主体に通知されていることが必要です。
個人情報の利活用の幅を広げる手段
ところで、個人情報の利用目的の特定は、事業活動の変化とは緊張関係にある面があります。
BtoCビジネスにあっては、個人情報の利活用の幅を広げることができないか、常に模索されている状況にあります。
この関係が問題になったケースに、カルチュア・コンビニエンス・クラブが主催した、Data Democracy Dayというイベントがあります(DDD)。
このイベントでは、個人情報の利活用の幅を広げるために、約6500万人の「Tカード」会員の購買データなどを活用した新たな事業やサービスを、一般の社会人や学生などに企画してもらうことをコンテスト形式で競うことが予定されていました。
もしも個人情報がこのコンテストで利用されると、こうした利用が個人情報の利用目的の範囲内といえるかが問題になります。目的を超えての利用になるのであれば、コンテストで個人情報を利用する前に、情報主体である本人からの同意が必要です。
さらに、社会人や一般の学生などに個人情報を提示したうえで、コンテストを行うことは適法か、委託することが認められるかが問題になります。
原則として、法令上第三者に個人情報を開示する際には、「第三者提供」として、情報主体である本人の同意が必要です。
ただし、アウトソーシングをするなどの際に業者に委託することは本人の同意は必要ありません。この委託の関係が、コンテスト参加者にも認められるか論点となります。
加えて、このコンテストでは「個人を特定できる個人情報の提供はしない」とのことでしたが、個人情報を匿名加工する場合にも、「匿名個人情報の第三者提供」について、法令上クリアしなければならないハードルがあります。
ちなみに、個人情報の利用目的を変更(目的外の利用)したい場合は、本人の同意を得ることが求められています(個人情報保護法16条)。
匿名加工化しての利活用
加えて、このコンテストでは「個人を特定できる個人情報の提供はしない」とのことでした。
そうすると、個人情報保護法の厳しい規制は適用がないと考えられることとなります。匿名加工した個人情報なら本人の同意がなくても第三者提供が可能になりますので、コンテスト参加者に対して提供可能、と主催者側は考えたかもしれません。
しかし、個人情報を匿名加工する場合にも、「匿名個人情報の第三者提供」について、法令上クリアしなければならないハードルがあります。
例えば、「年齢何歳くらいの男性・または女性が、アクションものの映画を●月●日に、どの店でビデオレンタルした」という事実について、自由に事業者が第三者に提供できるようなことがあると、利用者としてはこう言うのではないでしょうか。「なんとなく気持ちが悪い」「自分の私生活をのぞき見されているような気がする」。
法令は、こうした私生活の自由もしくはプライバシー権について、配慮しており、匿名加工情報も自由に第三者提供を行えるわけではありません。
匿名加工情報を作成し第三者提供を行うには、加工した個人情報の項目やその提供方法を公表し、また第三者に対しても提供する情報が匿名加工情報であると明示する必要があります(個人情報保護法36条4項)。
DDDが個人情報保護法の観点から見て適切かどうかは断定しませんが、個人情報の利活用について、もう少し事前に顧客に対して配慮があってもよかったかもしれません。
個人情報を利活用する際には法律をよく理解し、その上で事業に役立てていくことが大事と考えられます。
まとめ
個人情報の利用目的の特定は、法令上要求されていることであり、情報主体である本人が個人情報を提供し、事業者が取得する前に行われ、かつ、本人が分かるように通知又は公表されていなければなりません。
個人情報の利用目的の特定に足りるように注意するのと同時に、利用目的の変更には本人の同意がいるので、十分留意して目的を定めること、また、匿名加工情報として加工しても一定の制限があることに留意しておきましょう。
弊社では、定額制ISMS/Pマーク運用ご支援サービスを行っております。メール相談し放題、多彩なサポート内容、貴社でしっかり「運用できる」ISMS/Pマーク取得をお約束いたします。まずはお気軽に無料でご相談ください。