個人情報保護法Web講座

利用に関する個人情報取扱事業者の義務とは?

個人情報取扱事業者の義務」の概略については、既にお話しました。
その中でも、前回は、取得についてお話しています。
今回は、この「個人情報取扱事業者の義務」の中から、利用に関連する義務についてお話します。

利用に関する個人情報取扱事業者の義務
  1. 取得
  2. 利用
  3. 保管
  4. 監督
  5. 提供
  6. 情報管理
  7. 苦情処理
  8. 漏えい・滅失・毀損

利用に関連する義務とは?

利用に関連する義務は大きく分けると以下のように分けられます。
  1. 利用目的の特定
  2. 利用目的の変更
  3. 利用目的による制限
  4. 事業の継承
  5. 利用目的による制限の例外

利用目的の特定

利用目的は具体的に特定する必要があります。
本人がどのように使うか想像できるようなぐらい具体的にしましょう。
また、通販などの宅配業者のように第三者に個人情報を提供することを想定している場合も、明確にわかるようにしましょう。

このため、下記のような場合、本人や業種などによって想像できないこともあるので、もっと明確にした方が良いです。
  • 事業活動に用いるため
  • マーケティングに用いるため
  • 営業活動に用いるため
「事業活動」ではなく「○○サービス」と具体的にサービス名を明記したり、「営業活動」ではなく「新商品・サービスに関する情報のお知らせのため」と本人が想像できるようにしましょう。

利用目的の変更

利用目的を変更する場合は、取得時に行ったような、本人への通知や個人情報保護方針やプライバシーポリシーなどで公表している場合は、変更後の内容をあらかじめ公表することが必要です。

また、「個人情報取扱事業者」が好きなように変更することもできません。
下記のような条件があります。
  1. 変更前の利用目的と関連性を有すると合理的に認められる範囲
  2. 一般的に本人が通常予期し得る限度と客観的に認められる範囲
例えば、ある商品のアンケートで「アンケートに記載いただいた住所名前については、景品発送のためのみに使用します。」と利用目的を公表していたとしましょう。

せっかく住所氏名が手に入ったのでと、アンケートの製品とは関係ない自社製品の宣伝のために、ダイレクトメールの発送先に使用することはできるでしょうか?

アンケートとは関係ない製品のダイレクトメールでは、変更前の利用目的と関連性があるとも考えにくいです。
また、「景品発送のためのみ」としているのに、ダイレクトメールを送られてくるとは、考えないのではないでしょうか・・・


送る側の個人情報取扱事業者の人はダイレクトメールが送られてくるのは当たり前と考えるかもしれません。
しかし、そのような個人的な判断ではダメです。
逆の場合も同じです。
「自社商品の案内に利用する」と書いてあるのに、「ダイレクトメールを送るとは読めない」ということもダメです。

個人的な判断ではなく、一般の第三者から見て同じように判断できるか?が問題になってきます。

ダイレクトメールの送付に使い方をしたいのでしたら、始めから「自社製品の宣伝のためにダイレクトメールを送る」と利用目的を通知しておけば良いのです。

このように持っている個人情報を有効活用したいと、取得時に本人に通知していないような使い方へ、勝手に変更することはできません。

利用目的による制限

制限といっても、利用目的として特定したものは利用してよいのはご理解いただけると思います。
それでは、利用目的の範囲を超えての利用や先ほどのような変更ができないからといって、何もできないのでしょうか?

ビジネス環境の変化は激しいので、配慮する規定があります。
それは、個人情報保護法では、あらかじめ本人の同意が得られれば、良いとされています。

「あらかじめ」ですので同意を得る前に、同意を得られる前提で利用目的の範囲を超えての利用をしてはいけません。
また、同意が得られない場合も、同じく、利用目的の範囲を超えての利用をしてはいけません。

事業の継承

個人情報取扱事業者」が会社合併や会社分割、事業譲渡などを行ったことにより、別の「個人情報取扱事業者」から個人情報を引き継いだ場合、どうなるか?という問題です。

もう少し説明します。
引き継いだ会社が、引き継いだ個人情報の利用目的などを本人に通知をしないことがあります。
具体的には、子会社を作って、業務を引き継がせた場合などでは、本人に通知せずに、引継ぎをしている場合です。
このような、本人に通知をしていない場合、取得時の通知義務に違反しているのではないか?という問題です。

このような場合、引継ぎをする側の会社が、個人情報を取得する時に、利用目的を本人に通知や個人情報保護方針やプライバシーポリシーなどで公表しているはずです。
事業の引き継ぎを行っているので、その利用目的の範囲を変えずに利用するのだったら良いとされています。
引継ぎ後に変更する場合は、先ほどお話した「利用目的の変更」「利用目的による制限」の通りにします。

当たり前ですが、引継ぎをする側の会社が個人情報の取得時に本人への通知などを行っていない場合は、その個人情報を利用してはいけません。
また、個人情報保護方針やプライバシーポリシーなどで公表している場合は、あらかじめ、同一内容の公表が必要です。

広告枠・・・広告やリンク先の保証はしません

利用目的による制限の例外

「個人情報の取得時の例外」や「要配慮個人情報の取得時の例外」と同様に、利用目的による制限についても、下記のような本人の同意が不要な例外があります。
同じような内容なので、取得時の例外をご覧ください。
  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

次回は、保管についてお話します。

タグ:, , , , , , ,


広告枠・・・広告やリンク先の保証はしません

参考記事(一部広告含む)


このページの記事についてちょっと質問!