IT業界にカテゴライズされる企業では、個人情報を利用することで経営が成り立つケースが非常に多く見られます。
今回は、IT業界の企業における個人情報の“利用目的”の定め方について、具体的に解説したいと思います。
適切な個人情報の利用目的の設定は、業界内での信頼度、顧客の信頼度を上げることに繋がります。
【IT業界】個人情報の“利用目的”におけるルール
個人情報を利用することが多いIT業界の企業は、まず個人情報の利用目的におけるルールを把握しておきましょう。
個人情報を取り扱うにあたって、IT業界の企業は必ず“個人情報を何のために利用するのか”、つまり利用目的を定めなければいけません。
また個人情報保護法では、“なるべく個人情報の利用目的を特定する必要がある”という旨が記載されています。
そして“利用目的を達成するにあたって、必要以上に個人情報を取り扱ってはいけない”というルールも、個人情報保護法によって定められています。
つまりIT業界の企業は、個人情報を利用する目的を達成する場合のみ、個人情報を取り扱ってもいいということになります。
したがって、利用目的以外に個人情報を利用することはもちろん、むやみに個人情報を集めたり、意味もなく保管したりしてはいけません。
【IT業界】個人情報の利用目的は外部に公表する必要がある
IT業界の企業は、個人情報の利用目的をなるべく特定するだけでなく、それを外部に公表しなければいけません。
したがって企業の関係者だけが、特定された利用目的を把握していればいいというわけではないのです。
この個人情報における利用目的は、個人情報を取得する前にあらかじめ公表しておくのが望ましいとされています。
もし個人情報を取得した時点で利用目的を公表していない場合は、すぐさま顧客本人に利用目的を通知するか、公表しなければいけません。
企業のホームページに掲載するなどして、顧客でも簡単に利用目的が確認できる状態にするのが一般的です。
ちなみに “顧客でも簡単に利用目的が確認できる状態”とは、“個人情報保護法”においては“本人が容易に知り得る状態”と定義されています。
簡単に言うと、“顧客が簡単な手段で、短時間で利用目的をチェックできる状態”ということです。
具体的には、以下のようなケースが“本人が容易に知り得る状態”とされています。
・企業におけるホームページのトップページから、1~2回の操作でアクセスできるページに継続的に掲載されていること
・企業における事業所の窓口に継続的に提示されていること
・全国的に頒布されている刊行物に継続的に掲載されていること
・電子商取引(ネットショッピング)において、企業が商品を紹介する画面に利用目的のリンクが継続的に提示されていること
など
【IT業界】個人情報の利用目的は抽象的なものであってはいけない
IT業界の企業は、個人情報の利用目的を“なるべく特定する必要がある”と解説しました。
これはつまり、抽象的ではなく具体的な利用目的を設定しなければいけないということです。
抽象的と判断される利用目的の例には、以下のようなものが挙げられます。
・事業に利用するため
・お客様サービス向上のため
・提供サービスの品質向上のため
・マーケティングに利用するため
など
このような利用目的は抽象的と判断されるため、この文言をホームページなどに掲載したところで、利用目的を特定していることにはなりません。
IT業界の企業が個人情報の利用目的を定め、公表する場合、以下のように具体的な内容を記載する必要があります。
・○○事業における商品の発送やアフターサービス、新しいサービスなどにおける情報を提供するために利用致します
・ご記入された氏名やお住まい、電話番号は名簿として販売させていただく場合があります
・宛名の印刷サービスや伝票の印刷サービスなどを行うために、委託された個人情報を利用致します
など
上記のような文言を公表することによって、初めてIT業界の企業は“個人情報の利用目的を特定した”と認められます。
具体的であればあるほど適切な利用目的となるため、上記で言うと“アフターサービス”や“名簿”について、もう少し詳しく記載するとなお良いでしょう。
また言うまでもありませんが、利用目的を具体化して明記しているとは言え、その内容が違法なものであれば、当然利用目的として認められません。
【IT業界】個人情報の利用目的を変更する際に行うこと
IT業界の企業は、個人情報の利用目的を変更することができます。
ただ個人情報保護法には、変更される個人情報の内容について、“変更前の利用目的と相当の関係性がないといけない”という旨が記載されています。
つまり個人情報の利用目的を変更することができると言っても、大幅に変更することは基本的にできないということです。
また個人情報の利用目的が変更されることによって、顧客に悪影響を及ぼすと判断されない場合でも、必ず変更された内容を公表しなければいけません。
IT業界の企業が可能な個人情報の利用目的変更には、以下のようなケースが挙げられます。
・変更前:○○事業における新しい商品、新しいサービスなどにおける情報の提供
・変更後:○○事業における既存の商品、新しい商品、新しいサービスなどにおける情報の提供
このケースでは、個人情報の利用目的に“既存の商品”が追加されています。
これは明らかに顧客に悪影響を及ぼす利用目的の変更ではありませんが、このようなケースでも必ず利用目的変更の旨を公表し、顧客に伝えなければいけません。
まとめ
IT業界の企業における、個人情報の利用目的の正しい定め方について解説しました。
今回の記事では、IT業界が個人情報を利用する機会の多い業界のため、“IT業界の企業における個人情報の利用目的の定め方”として解説しましたが、もちろん他の業界の方にも関係があります。
IT業界を含むすべての業界における企業が、“JAPHICマーク”などの信頼できるマークを取得すれば、個人情報の利用目的に関するトラブルは減少するでしょう。
