個人情報の目的外利用を考えるにあたり、改正後の個人情報保護法の利用目的について知ることは大切です。厳格化していくその取扱いは、知らず知らずに法に触れ罰則を受けてしまうというリスクを回避する上でも、大切と言えます。
利用目的の明確化
・利用目的をできる限り特定しなければならない
どの程度特定するべきでしょうか。委員会のガイドラインに例があげられていました。
商品の販売を行う事業者が、個人情報を取得する際、「〇〇事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」と明示するように書かれていることから、抽象的、一般的ではなく可能な限り具体的に、特定するよう求められています。
・利用目的の達成に必要な範囲を超えて取り扱ってはならない
具体的に特定した利用目的とは違う目的で個人情報を取り扱うことは許されません。
例として、「就職のための履歴書情報をもとに、販売促進のためのカタログや購入申込書を送る場合。」があります。
・利用目的を変更した時は通知または公表しなければならない
特定された個人情報の利用目的は変更することが可能です。「変更前の利用目的と関連性を有すると合理的に認められる範囲」に限られますが、個人データの利活用のニーズが急増したことから、以前の保護法よりも判断基準はゆるくなり、「個人情報の本人が、通常予期し得る限度内」と考えられています。
例として、「電力会社が、顧客に省エネを促す目的で、機器ごとの電気使用状況を収集する場合。また、同じ情報を用いて顧客の安否確認のサービスを行う場合」は一般的に予期し得る限度内だということです。
変更した場合、本人に通知をするか公表することが求められます。その方法としてはチラシなどの文書による通知や電子メール、郵便を送付する、ウェブサイトへの掲載など様々な方法で「本人が容易に知り得る状態」にすることが求められます。
これらの方を無視して個人情報を利用した場合、目的外利用となる可能性があります。あらゆる状況が起こりうる中で、想定しづらい部分も多々認められますが、自社でどのように活用することができるか。
そして、どうすれば顧客に対し安全なサービスを提供し安心を与えることができるのかは、この情報社会において優先的に考えなければならない部分と言えるでしょう。
是非、模範的に問題を解決し、他社のモデルとなるよう進んでいきましょう。
個人情報を1件でも取り扱う企業・団体は、個人情報保護の第三者認証制度である’JAPHIC(ジャフィック)マーク’などを取得し、社内外にその健全性を周知していきましょう。
