個人情報は、個人情報取扱事業者があらかじめ利用目的を公表又は情報主体である本人に通知し、その後本人からの情報を取得する必要があります。
一方で、事業活動は絶えず変化するものですから、利用目的としてあらかじめ定めた事項が事業内容にそぐわない狭すぎるものになってしまうこともあります。そこで、目的外であるとの疑いがある場合でも利用できる、と判断してしまうことがあります。
こうした疑義を残した望ましくない利用、明確に目的の範囲外にある目的外利用などを避けるにはどうしたらよいのか、また個人情報の保護の趣旨から、形式上目的内に見えても、法律で禁止されると考えられる避けたい利用法はどういうものか、以下で解説します。
また、企業のセキュリティ対策に必須な情報セキュリティポリシーの策定・運用ポイントがわかる資料を無料で配布しています。ぜひご活用ください。
個人情報の定義についておさらい
個人情報とは、正確には何のことをいうのでしょうか、最初に定義のおさらいをしておきましょう。
個人情報の定義は、個人情報保護法第二条に記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
このことから、文字や記号・符号等で、特定の個人を識別できるものが広く個人情報に含まれるものと考えられています。
個人情報の利用目的とは
個人情報の利用目的とは、情報の主体である本人が、あらかじめ知っておき「その目的であれば自分の個人情報を利用させても構わない」として個人情報を提供するため、本人の意思に沿わない利用目的をあとから設定するようなことは避けるべきです。
個人情報の利用目的は、本人が合理的に「その目的であれば個人情報を利用させても構わない」と判断するのに十分なくらいに具体的である必要があります。個人情報保護法の第15条では、個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならないこととしています。
そのため、利用目的が抽象的なものは、個人情報保護法違反となります。たとえば「事業活動に用いるため」「お客様のサービス向上のため」などは、抽象的でありすぎて違反と考えられます。こうした抽象的目的では、本人が利用目的を正当に理解、判断をして情報を提供しているかどうかはあやしいからです。
「当社の〇〇事業の新商品に関する情報のお知らせのため」などというように具体的であれば利用目的に問題はありません。また、個人情報を第三者に提供することを想定している場合には、その旨が明確に分かるよう特定する必要があります。
個人情報の目的外利用とは
個人情報は、当初定めた目的以外での利用は禁止されています。つまり、本人が提供前に公表されあるいは通知された目的に従って利用するのはよいですが、利用目的に定められていない目的のために利用することは法律で禁止されているのです。
個人情報保護法第16条は、「個人情報取扱事業者は、利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合、あらかじめ本人の同意を得なければならない」としていますので、何らかの方法で、目的外の利用には、明示的な同意を得る必要があります。
また、目的外ではなく、利用目的そのものを変更することは可能ですが、どこまでも無制限にできるものではなく、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならないものとされています。この場合、変更前の目的に基づいて個人情報を提供した本人には、通知・公表をしなければなりません。
個人情報の目的外利用を避けるために
個人情報の利用目的は、多くの場合、個人情報取扱事業者がインターネット上のWebサイトで掲載しています。また、記載された書面で通知することも有効です。これらの措置が、目的外利用を避けるための抑止力としてはたらいています。
また、利用目的について質問を受けた場合は、明確に回答できるようにしておく必要があります。また、万が一目的外利用について指摘を受けた場合、適切な対応とは、直ちに利用をやめることです。利用目的を事業者側がこのように考えていたが、実際に情報を提供した本人はそう考えていなかった、と両者の利用目的の理解にギャップがある場合は、本人が目的を理解して提供した情報ではない恐れがあるためです。
その他個人情報の利用にあたって気を付けるべき内容とは
個人情報保護法の第16条の2は、個人情報取扱事業者が違法な行為や、不当な行為を助長したり誘発したりする恐れのある方法で個人情報を取り扱うことを禁止しています。
個人が自分の情報をコントロールする権利を個人情報保護法では究極の保護の対象としていますが、不当な行為を助長・誘発するのでは、形式的にはたとえ許されている行為に見えても、実質は問題、というなら、止めなければならないとしているのです。
例えば、第三者と情報を正当な目的のために共同利用するため、情報主体である本人の同意を得て個人情報を取得し、当該第三者にも開示しているケースがあるとします。
ところが、開示先第三者のもとで、ネット上の中傷やヘイトスピーチのために個人情報を従業員が悪用した事案が発生したというような場合、仮に第三者との共同利用を漫然と行いつづけるとすると、こうした禁止行為にあたることも考えられます。
個人情報の目的外利用のケース
個人情報の目的外利用のケースとして有名なのが、破産者情報を官報から集めて、ウェブサイト上でデータベースとして公開したケース(破産者マップ事件)です。
もちろん、こうした利用は、本人に利用目的の公表や通知が行われて個人情報が取得され、利用されているものではありません。また、公開情報であっても、加工したデータはこのケースでは、個人情報データベースとなります。事業者側は個人情報取り扱い事業者として監督官庁の監督に服することとなります。
監督官庁である個人情報保護委員会は、このウェブサイトは個人情報保護法上問題があるとして、事業者に行政指導をし、事業者はウェブサイトを閉鎖しています。当時話題になったことから、記憶にある方も少なくないでしょう。
このケースにおいて、個人情報保護委員会の行政指導の内容のポイントは以下3点です。
- 個人情報の利用目的を通知・公表していなかった
- すでに上記でご紹介した通りですが、この事業者は利用目的の通知・公表を義務付けられています。
- 本人の同意を得ることなく個人データを第三者提供した
- 破産者マップは広く公開しており、第三者提供が行われているものと考えられます。
- 事業者は、違法な行為や不当な行為を助長したり誘発したりするおそれがある
- 特に不当とされ、弁護士などの専門家から批判を浴びた点は、破産した人に対する差別が助長されることです。官報は限られた人しか読まない刊行物ですので、破産者が掲載されたとしても社会的ダメージは一定の職業制限に限られています。
ところが、これを広く公開して、差別を助長するレベルにしてしまったことが重大な問題とされたのです。また、官報には住所が記載されますが、破産者マップは住所入りでしたので、プライバシーの侵害の度合いを大きくしてしまうことになりかねないとされています。
まとめ
個人情報保護法は、情報の利用目的を通知・公表することを事業者に義務付け、目的外利用を禁止しています。目的外利用には本人の同意が必要とされており、また、目的は本人が十分に判断できるよう、抽象的な目的では足りないとしています。
本人の情報のコントロール権の保護が究極の個人情報保護の目的・趣旨であることを理解し、本人が利用されたら不利益が大きい使い方になっていないか、個人情報を取り扱うときには想像力を働かせましょう。そして、利用目的内での個人情報の利用を遵守しましょう。
また、こうした個人情報取り扱いを含めた情報セキュリティポリシーの策定・運用ポイントがわかる資料もぜひご活用ください。