プライバシーマーク「目的外利用」について

プライバシーマーク「目的外利用」について

本コラムでは、プライバシーマークにおける「目的外利用」という部分に注目して、少しお話させて頂ければと思います。

「目的外利用」とは何なのか
読んで字の如く、目的を遂行するため以外に利用する。ここまでは推測できますよね。

JIS Q 15001:2017 A.3.2.1には目的外利用について下記のように書かれています。
a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。]。
(個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017、日本規格協会著、2017年12月20日発行)

利用目的の達成に必要な範囲というのは、例えば「◯◯のために個人情報の取得を行いますね。」と謳っていることを指します。
弊社のホームページ内にある、お問い合わせページに掲載されている内容はどうなっているかというと

(参照元:ISO総合研究所 個人情報の取扱いについてhttps://isosoken.sakura.ne.jp/cojp/contact/privacy.html

図のような形の表記になっています。
つまり、「お問い合わせ、無料相談」以外での利用を行った場合が“目的外利用”に当ることになります。
他の企業だと、プライバシーポリシーやお問い合わせについてのページに記載されていることが多いです。

実はこの利用目的の掲載も、Pマーク(プライバシーマーク)の要求事項、外してはならないポイントの1つとなっております。
JIS Q 15001:2017 A.3.4.2.6利用に関する措置を見てみましょう。

組織は、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、A.3.4.2.5のa)~f)に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得なければならない。
ただし、A.3.4.2.3のa)~d)のいずれかに該当する場合には、本人の同意を得ることを要しない。
(個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017、日本規格協会著、2017年12月20日発行)

冒頭にもあるように、必要な範囲で利用しなければならず、明記している利用目的以外で個人情報を利用する場合は本人に通達する必要があると書いてあります。
要するに無断で利用するのは良くないということですね。

まとめ
ここまでの内容をまとめると

1.利用目的の内容以外で情報を使うと、目的外利用になる
2.目的外利用を行う場合は、本人に通達する必要がある

普段の業務を行っていく中で、サービスの向上を目的に新たなサービス展開や情報分析を行うことがあると思います。
様々な情報を取扱う分、いつしか気づかぬ間に利用目的から逸れた利用に繋がっている可能性も十分に考えられます。
“目的外利用”を本人に通達せず、そのまま情報を使い続けると不正利用になる可能性もあり、その場合は法的処置を受ける場合もありますので、くれぐれもお気をつけください。
会社を良くするため、サービスを良くするために利用していたのに・・・なんて悲しいことにならないように、今のうちから気をつけていきましょう。

Pマーク総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03