皆さん個人情報を取扱う上では利用目的が特定されている必要があることをご存知ですか?
個人情報保護法では、第17条で個人情報の利用目的をできるだけ特定することが求められています。
また、法律上だけではなく、プライバシーマークの要求事項であるJISQ15001の中でも個人情報の利用目的は特定する必要があると記載されています。
では、その利用目的はどのように特定すべきなのでしょうか。今回は、利用目的について詳しく解説していきたいと思います。
どうやって利用目的を特定すべき?
基本的に利用目的は、「その個人情報をどのような業務で扱っているか」を率直に具体的に記載すれば大丈夫です。
例えば、「履歴書」という個人情報の利用目的は「採用選考のため」や「入社後の雇用管理・従業員としての管理のため」というのが一般的に利用目的になります。
その他にも例えば、ネットの通信販売で会員登録してもらう上で取得する個人情報の場合は「購入商品の発送」、「メールマガジンでの情報の提供」などが例として挙げることができます。
業務内容に沿って、具体的にかつ端的に定めておくことがポイントになります。
NGな利用目的は?
逆にNGな利用目的とはどういったものでしょうか。
結論を先に言ってしまうと、具体的に書かれていない利用目的はNGです。
例えば、先に挙げたネットの通信販売で登録してもらう「会員情報」について「当社事業活動のために利用します」と言った内容の利用目的は、具体的とは言えないのでNGな利用目的と言えます。
つまり、その会社の事業や業務内容に沿った形での内容が具体的であると言えます。
利用目的って後々変えられるの?
少し余談になりますが、よく「会社がすでに取得している個人情報を、利用目的を変更して使うことは可能か」といったことを疑問に思う方がいらっしゃいます。
実は、個人情報保護法、JISQ15001ともに利用目的の変更そのものは認めているのです。
個人情報保護法では「変更前の利用目的との関連性を有すると合理的に認められる範囲」(個人情報保護法第17条から一部抜粋)であれば変更が可能とされています。
全くもって別の利用目的に変えるとなると、NGになってしまいますが、関連性がある範囲で変更することは問題ないということになります。
具体的に利用目的の変更手続きがプライバシーマークの中などでどのように求められるかは、また別の機会にお話します。
