事業のための個人情報を利用している個人情報取扱事業者は、個人情報の利用や取得、管理などの義務を果たさなければいけません。
また目的外利用のルールについても遵守しなければ、行政指導や行政処分の対象になってしまう可能性があります。
今回は、個人情報の目的外利用に関するルールについて解説します。
目的外利用の概要
個人情報取扱事業者が利用する個人情報について、その本人の同意を得た利用目的以外で個人情報を利用することを目的外利用といいます。
個人情報の利用目的は可能な限り特定し、その目的の達成に必要な範囲で個人情報を取り扱わなければいけません。
そのため、本人が意図しない目的での利用はルール違反ということになります。
また前もって特定した利用目的の範囲を超えて個人情報を利用することはできますが、その際には本人に必要事項を通知し、きちんと同意を得なければいけません。
目的外利用を避けるためには?
個人情報取扱事業者のほとんどは、自社のWebサイトにおいて、個人情報の利用目的を公開しています。
その他記載された書面で本人に通知することも、目的外利用の抑止力となります。
また個人情報の本人から利用目的に関する質問を受けたとき、個人情報取扱事業者はハッキリと回答しなければいけません。
もちろん、万が一目的外利用を行ってしまっていた場合、ただちに利用を中止する必要があります。
ちなみに目的外利用を行った場合、個人情報保護委員会による行政指導や行政処分が下されます。
さらに命令に違反した場合、1年以下の懲役または100万円以下の罰金に処されるため、注意が必要です。
目的外利用の例外について
例外として、個人情報の目的外利用が認められているケースがいくつかあります。
例えば、税務署の所得税に関する調査に対応する場合など、法令に基づく場合は本人の同意を必要としません。
また災害や事故が発生したとき、被災者や負傷者の情報を家族・行政機関・地方自治体などに提供する場合も、前もって許可を取ることなく目的外利用ができます。
その他、児童虐待のおそれのある家庭情報を警察や学校に共有する場合なども、個人情報の目的外利用が認められています。
まとめ
今回解説した内容については、個人情報の取り扱いに関する基本的なルールの一つです。
そのため、すべての個人情報取扱事業者が必ず把握しておかなければいけません。
またJAPHICマークを取得すれば、個人情報の取り扱いに関する知識は必然的に身に付きますし、企業における情報セキュリティインシデント発生のリスクも低下します。
取得の難易度は比較的低いため、ぜひ企業関係者の方は取得を目指してみてください。
