2005年 09月 20日 ( 1 )

2005年 09月 20日
誰でもわかる!簡単【個人情報保護法】⑧ ~ガイドライン解説2:利用目的とは~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の2回目です。今回は、個人情報保護を考える上で重要なキーワードである「利用目的」について見ていきたいと思います。

個人情報保護法では、「利用目的」について、以下のように定めています。

法第15条第1項
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。


法第16条第1項
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。


法第18条第1項
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。


個人情報取扱事業者は、取得した個人情報を何に使うか(利用目的)をはっきり決め、本人にわかるようにして、その決めた範囲で取り扱うように。という事ですね。
この実際に、「利用目的」を特定する場合に問題になるのが、「利用目的」をどこまで詳しく記載するか、という事です。
ガイドラインでは、

個人情報取扱事業者は、利用目的をできる限り特定しなければならない。利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを可能な限り具体的に特定する必要がある。


とされています。「しなければならない」と記載されているので、従わなかった場合は経済産業大臣により、法の規定違反と判断され得る規定です。
では、どのくらい詳しく決めれば、「できる限り特定した」「可能な限り具体的に特定した」とみなされるのでしょうか?ガイドラインでは、具体的に利用目的を特定している事例を挙げています。

事例1) 「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」
事例2) 「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります。」
事例3) 例えば、情報処理サービスを行っている事業者の場合であれば、「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」のようにすれば利用目的を特定したことになる。


反対に、特定できていない例も挙げられています。

事例1) 「事業活動に用いるため」
事例2) 「提供するサービスの向上のため」
事例3) 「マーケティング活動に用いるため」


これを見て、「この程度なら当然かな」と思われる方もいらっしゃると思いますが、「こんなにはっきり決めてしまうのは抵抗があるな」と思われる方も少なくないでしょう。ここで「抵抗があるな」と思われるような場合は、「何に使うかわからないけど、一応集めている」情報があるからかもしれません。
例えば、ECサイトでの商品の販売時に、購入者の名前や連絡先と共に、「性別」「家族構成」、場合によっては「血液型」などを収集しているようなケースです。
「性別」については、女性だけを対象にしたキャンペーンの案内を送る場合は、利用目的を明確にできますが、「血液型」は、苦しいところです。購入者から見ても、「なぜ必要なの?」と思われても仕方ありません。

「利用目的」、本人に通知又は公表しなければいけませんので、実際に、本人に通知又は公表した時に、本人の納得が得られそうに無い場合は、その個人情報の取り扱い自体を見直す必要があるでしょうね。
[PR]

by office-izutani | 2005-09-20 12:12 | 誰でも簡単【個人情報保護】