個人情報の「利用目的」、これを意識

個人情報を取り扱うに当たっては、「利用目的」をできる限り特定することが求められています。

現行の「個人情報の保護に関する法律についてのガイドライン（通則編）」においても、
【具体的に利用目的を特定している事例】
【具体的に利用目的を特定していない事例】
として、次の事例が示されています。

【具体的に利用目的を特定している事例】

事例） 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合

【具体的に利用目的を特定していない事例】

事例 1）「事業活動に用いるため」
事例 2）「マーケティング活動に用いるため」

この「利用目的の特定」について、２０２２年４月１日からスタートする「改正個人情報保護法」において、法律上の改正はありません。

しかしながら、２０２２年４月１日からスタートする「個人情報の保護に関する法律についてのガイドライン（通則編）」の改正では、新たに次の考えが示されることになりますので注意が必要です。

「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。

本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。

以上の個人情報保護委員会の考えを踏まえ、現在公表されているプライバシーポリシーの「利用目的」について、お客様の立場から、個人情報が取り扱われる範囲を確定して、お客様が予測・想定できる内容となっているかどうか、検討を行うことが必要です。

また、「個人情報の保護に関する法律についてのガイドライン（通則編）」の改正では、次の考えが示されることになります。

本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

したがって、ターゲティング広告など、お客様から得た情報から、お客様に関する行動・関心等の情報を分析する場合には、次の事例を参考にして、利用目的を新設する必要があります。

事例1）「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」

事例2）「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」

ただし、利用目的を変更する場合には、次のルールに留意しておきましょう。

１．利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

２．利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。

３．特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は、一定の例外を除き本人の同意を得なければならない。

現在、自社が公表する「利用目的」の見直しの検討を行い、
「改正個人情報保護法」のスタートに備えていきましょう。

福田秀喜（行政書士福田法務事務所）

個人情報保護法|これで解決！成功するためのコンプライアンス経営

【追伸】
この記事の内容は、YouTubeでも紹介しています。