見出し画像

個人情報の利用目的はできる限り特定しなければならない

でんぞう@しがない個人情報保護士

個人情報保護委員会から、「令和2年改正 個人情報保護法に関するガイドライン(案)」が公表されました。

個人情報取り扱い事業者は、取得する個人情報の取り扱い範囲を明確にして、公表または本人に通知等することが求められます。

この「利用目的の特定」は、個人情報保護の要になる要件です

今年改訂されるガイドライン(案)では、ターゲティング広告や、プロファイリング(分析)することについて、本人が予測・想定できるようにすることが追加で求められます。

改正法の全面施行に向けて、まずは現行法の内容と合わせて、プライバシーポリシーなどに記載している利用目的が、顧客目線で適切な説明になっているか改めて確認すると、いろいろな課題が顕在化してきます。

ということで、
本日は、新しいガイドライン(案)の「利用目的の特定」について整理してみました。


【 新しいガイドライン(通則編)の(案)】

画像1

3-1-1 利用目的の特定(法第 15 条第 1 項関係)

太字部分「注釈(※1)」が追記される予定です。

法第 15 条(第 1 項)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。

個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい(※1)(※2)。

なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない。

【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
事例 1)「事業活動に用いるため」
事例 2)「マーケティング活動に用いるため」

(※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。

本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。

例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】

事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」

事例2)「取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。」

(※2)定款等に規定されている事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される。なお、利用目的の特定に当たり「○○事業」のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。

また、単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される。


引用文献

👇 改訂されるガイドライン(案)はこちら
資料2-2 個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示(案) (PDF : 1291KB)

👇 (現行)のガイドラインはこちら
個人情報の保護に関する法律についてのガイドライン(通則編)[HTML版]

※誤植などがあるかも知れません。
 本投稿の内容を鵜呑みにせず、
 必ず原本(上記リンク)の内容を確認してください。


画像2


論点整理で上げられていた【具体的に利用目的を特定している事例】が、1つ削られています。なぜだろう?


第 15 条(利用目的の特定)は、今回の改正で条文の変更はないものの、この規定を満たすための要件が拡充されました。

※改正条文の変化点だけ追っていると見落としてしまうので注意です。


いまさらですが、
👇 これ、やってしまいがちなんですよね…

単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される。


本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります

では、また!


この記事が気に入ったらサポートをしてみませんか?