大阪・尼崎 中小企業法律相談 > 個人情報の取扱いで守ること > 個人情報を「取得・利用」するとき

個人情報を「取得・利用」するとき

 個人情報保護法では個人情報取扱事業者に対して、個人情報を取得・利用する際の利用目的について、以下を義務づけている。

 

個人情報の利用目的に関する義務

①利用目的をできる限り特定すること(15条)

②あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて取り扱ってはならないこと(16条)

③保有している個人データに関して、その利用目的を本人の知ることのできる状態にしておくこと(24条1項2号)

 

個人情報の利用目的を特定する

 

 個人情報取扱事業者が個人情報を取り扱う場合は、どのような目的で利用するかをあらかじめ「特定」しておく必要がある。

 個人情報保護法では、利用目的を「できる限り特定しなければならない」としている(15条1項)。

 この趣旨は、個人情報が扱われる本人の立場から見て、実際に個人情報が何に使われるのかを予想できる程度に具体的にしなければならない、ということである。

 つまり、「特定」の程度とは、定款などに規定された事業内容に照らして、個人情報の本人が利用目的を合理的に予想できる範囲に特定する必要がある。

 この範囲について、経済産業省の経済産業分野ガイドラインでは、単に「事業活動」や「お客様へのサービスの向上」とするだけでは事業目的を「できる限り特定」したことにはならないとしている。

 以下、経済産業省のガイドラインより、利用目的を特定している例と、特定したとは認められない例を紹介する。

 

利用目的を特定している例

 

  • 利用目的を特定した例①

「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします」

  • 利用目的を特定した例②

「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります」

  • 利用目的を特定した例③

「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービスなどの情報処理サービスを業務として行うために、委託された個人情報を取り扱います」(情報処理サービスを行っている事業者の場合)

 

利用目的を特定していない事例

  • 利用目的の特定と認められない例①

「事業活動に用いるため」

  • 利用目的の特定と認められない例②

「提供するサービスの向上のため」

  • 利用目的の特定と認められない例③

「マーケティング活動に用いるため」

 

  • 利用目的の変更

 個人情報保護法第15条では、個人情報取扱事業者は、あらかじめ特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができない。ただし、必要な対応を行えば、利用目的の変更は可能になる。

 利用目的の変更では、変更前の利用目的と相当の関連性があると合理的に認められる場合は、その範囲内で変更自体は許されている(15条2項)。しかし、変更された利用目的について、本人に通知または公表をしなければならない(18条3項)。

 一方で、あらかじめ特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は、利用前に、本人の同意を得る必要がある(16条1項)。なお、この同意を得るために個人情報を利用することは、目的外利用にはあたらない。

 以上から、個人情報保護法では、変更前の利用目的と相当の関連性のある範囲、つまり本人が予想できるような範囲内で利用目的を変更するならば「通知または公表」とし、それを超える利用目的の変更は本人の「同意」が必要と分けている。

 

  • 「利用目的による制限」

 個人情報取扱事業者が、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならない(16条1項)。

 たとえば、求人を行った場合に取得した履歴書情報をもとに、自社の新製品を紹介するダイレクトメールを送ることはできない。

 

  • 利用目的の制限が適用されない場合

 個人情報の目的外利用では、利用目的制限を除外する次のような例外の定めがある(16条3項)。

○法令にもとづく場合

○人の生命や身体または財産の保護に必要な場合で、本人から同意を得ることが困難な場合

○公衆衛生の向上、または児童の健全な育成推進に特に必要で、本人や法定代理人からの同意を得ることが困難な場合

○国の機関や地方公共団体などが法令上の事務を遂行するのに協力が必要で、その事務遂行に支障になるおそれがある場合

 

  • 「本人の同意を得る」とは

 本人が個人情報の利用を承諾するという意思表示をして、個人情報取扱事業者がその意思表示を認識することを「本人の同意を得る」という。

 この本人の同意については、事業の性質と個人情報の取扱い状況に応じて、本人が同意の判断を行うために必要な、合理的で適切な方法によらなければならない。

 なお、個人情報の取扱いに同意したことから生じる結果について、本人が判断能力を持っていない子供などの場合は、法定代理人などから同意を得る必要がある。

 なお、経済産業省の経済産業分野ガイドラインでは、本人の同意を得たと認められる場合として、以下の例が挙げられている。

 

本人の同意を得ている事例

 

  • 本人の同意となる事例①

 「個人情報の利用に同意する旨を本人から口頭または書面で確認した」(電子データや磁気データなどによる文書データを含む)

  • 本人の同意となる事例②

 「申込書などに、本人に利用に同意する旨の署名または記名押印をしてもらい、その文書を受領して確認した」

  • 本人の同意となる事例③

「本人から利用を同意する旨のメールを受信した」

  • 本人の同意となる事例④

「本人から同意する旨の確認欄へのチェックをもらった」

  • 本人の同意となる事例⑤

「本人から同意する旨のウェブ画面上のボタンをクリックしてもらった」

  • 本人の同意となる事例⑥

「本人から同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチなどによって入力してもらった」

 

(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)

ご相談予約専用フリーダイヤル(携帯・PHSでもどうぞ)0120-066-435 無料相談受付中
  • メールでのご予約はこちら
  • ご相談の流れはこちら
  • 契約書トラブル
  • 債権回収
  • 労務問題
  • 不動産トラブル
  • 再生・破産
  • 消費者トラブル

新着情報・セミナー情報

その他の解決事例はこちら

NEWS LETTER バックナンバー