個人情報の利用目的は決まっているものと、以前の記事でも触れていますが実は法律上・プライバシーマーク上で利用目的は変更しても構わない。となっています。

ある程度具体的に利用目的を定めなければならないのに変えていいの？と疑問に思う人もいるのでないでしょうか。

ルール・制限はありますが、実のところは利用目的を変更して扱うことは違法でもルール違反でもありません。

今回は利用目的の変更に関する内容や手順について触れてみたいと思います。

 

【利用目的変更がOKな根拠】

そもそも、個人情報の利用目的は変更することができるのでしょうか・・・

個人情報保護法には根拠となる条文があります。

「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。」

※個人情報保護に関する法律　15条　2項から抜粋

 

元々の利用目的と関連性があれば、利用目的を変更することは法律上認めています。

言い換えると本人が予想できないような、利用目的への変更は不可になります。

【利用目的の変更がOKな例】

対象：A社に勤める従業員の情報

元々の利用目的：給与計算、雇用の管理に関する手続き

変更(追加)する利用目的：A社HPでのスタッフ紹介や会社イベントの写真の掲載

 

【利用目的の変更がNGな例】

対象：A社に勤める従業員の情報

元々の利用目的：給与計算、雇用の管理に関する手続き

変更(追加)する利用目的：A社が新たに取り扱いを始めた美容商材のカタログを送付、会員登録

 

OKな例は働いている内容の紹介と言える内容となっており、利用目的変更の例としては関連性があると判断されます。

一方、NGな例は従業員の情報のサービス・事業の内容に変更する形になっているので、関連性があるとは認められない例となってきます。

 

【どうやって変更するの？】

では、具体的にどうやって変更するのでしょうか。

個人情報保護法では、以下のような条文があります。

16条　利用目的による制限

第十六条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

※個人情報保護に関する法律　16条　1項から抜粋

 

条文に記載のある通りなのですが、「あらかじめ本人の同意を得る」ことが求められています。この場合ですが、口頭の同意でもOKなのか、書面などでの同意が必要なのか。

条文上では明確な定めがありませんが、書面での同意があった方がベストだと考えられます。

 

【プライバシーマーク上必要な手順】

一方プライバシーマークを取得している会社で利用目的の変更を行う場合はどうでしょうか。

同意を得ることまでは変わりありません。同意においては書面などで明確に同意を得ることが求められています。

それ以外にも同意を得る以前に社内で利用目的の変更を行う上での承認を書面で個人情報保護管理者(Pマークの責任者)から得ることが必要となってきます。

 

【終わりに】

会社で持っている個人情報について利用目的を変更できることにビックリされている方もいあるかと思います。

個人情報保護法を作っている国としても個人情報の利活用をして経済を回すことが目的でもあるので、関連性があればうまくその情報を使うことでビジネスの発展に繋げていきたいと考えています。

 

違法・不当にならないように専門家の意見を聞きながら会社の個人情報を使っていけれるとビジネス活用がうまくいくことにもなります。