個人情報取扱事業者の義務(「利用目的の特定」編)

個人情報取扱事業者の義務一覧

• 「個人情報」
  • 利用目的の特定(個人情報保護法15条)(今回取り扱います)
  • 利用目的による制限(同法16条)
  • 不適正な利用の禁止(改正同法16条の2)
  • 適正な取得(同法17条)
  • 取得に際しての利用目的の通知等(同法18条)
• 「個人データ」
  • データ内容の正確性の確保等(同法19条)
  • 安全管理措置(同法20条)
  • 従業者の監督(同法21条)
  • 委託先の監督(同法22条)
  • 漏えい等の報告等(改正同法22条の2)
  • 第三者提供の制限(同法23条)
  • 外国にある第三者への提供の制限(同法24条)
  • 第三者提供に係る記録の作成等(同法25条)
  • 第三者提供を受ける際の確認等(同法26条)
  • 個人関連情報の第三者提供の制限等(改正同法26条の2)
    ※ 提供されるのはあくまで「個人関連情報」であり、「個人データ(個人情報)」ではありませんが、関連するため記載しています。
• 「保有個人データ」
  • 保有個人データに関する事項の公表等(同法27条)
  • 開示(同法28条)
  • 訂正等(同法29条)
  • 利用停止等(同法30条)
  • 理由の説明(同法31条)
  • 開示等の請求等に応じる手続(同法32条)

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

利用目的の特定(15条)

個人情報保護法第15条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

「個人情報を取り扱うに当たっては」(1項)

「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。
しかし、利用目的の特定義務は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります。
このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の利用目的の特定義務の範囲とが、それぞれ異なっていることには注意が必要です。

また、顧客の個人情報だけでなく、従業員の個人情報を取り扱う場合の当該従業員の個人情報も、本項の適用対象となります。

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p17
　「従業員を雇用するに当たり当該従業員の個人情報を取り扱う場合も、当該個人情報の利用目的をできる限り特定する必要があります。加えて、個人情報取扱事業者と従業員本人との間で争いとならないようにするためには、あらかじめ労働組合等に通知し、必要に応じて協議を行うことも望ましいと考えられます。」(A2-2)

さらに、公開情報であっても個人情報であることには変わりないため、例えば登記簿等を閲覧することによって個人情報を取得する場合であっても、利用目的を特定しなければなりません(前記Q&A p18(A2-4))。

ただし、個人情報に該当しない統計データ等であれば、そもそも個人情報ではないわけですから、個人情報保護法上は、その取扱いにかかる利用目的を特定する必要はないこととなります(前記Q&A p18(A2-5))。

「その利用の目的」(1項)

ここでの「利用の目的」とは、究極的な利用目的を意味するとされ、個人情報取扱事業者ごとに利用目的が定まることになるとされています。
また、自己利用の場合に限定されず、第三者への販売等も含まれます。
なお、取得及び廃棄を除く個人情報の取扱い全般が意味すると考えられており、単に個人情報を保管するにとどまる場合であっても「利用」に該当するとされています。

前記Q&A pp17-18
　「取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。」(A2-3)

「できる限り特定しなければならない」(1項)

個人情報保護法15条1項は、どのような目的で個人情報を利用するのかについて個人情報取扱事業者に具体的かつ明確に認識させることにより、当該目的を達成するために必要最小限の範囲で個人情報を取り扱わせ、個人情報を本人の同意なくして目的外利用させず、もって個人の権利利益を保護する趣旨で設けられています。
ですから、文言上も「できる限り特定しなければならない」とされ、可能な限り具体的な目的とすることを個人情報取扱事業者は求められているのです。

前記Q&Aでは、本人の個人情報がどのような事業にどのような目的で利用されるのか、一般的かつ合理的に想定できる程度まで特定する趣旨であるとされています。

前記Q&A p17
　「利用目的を『できる限り』特定するとは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、本人にとっても、自己の個人情報がどのような事業の用に供され、どのような目的で利用されるのかが、一般的かつ合理的に想定できる程度に特定するという趣旨です。
　このため、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましく、例えば、単に『お客様のサービスの向上』等のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。」(A2-1)

例えば、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp26-27によると、次のような程度では、原則として「できる限り特定し」たとは言えないとされています。

• 「事業活動に用いるため」
• 「マーケティング活動に用いるため」
• 「お客様のサービスの向上のため」

前記ガイドラインでは、次のような場合であれば、具体的に利用目的を特定しているとしています。

前記ガイドラインp26 　「事業者が商品の販売に伴い、個人から氏名･住所･メールアドレス等を取得するに当たり、『○○ 事業における商品の発送、関連するアフターサービス、新商品･サービスに関する情報のお知らせのために利用いたします。』等の利用目的を明示している場合」

ただし、取り扱う情報が「保有個人データ」に該当する場合には、2020年改正により、実務的に異なる記載のほうが適切であるとされる可能性が考えられます。
これは、2020年改正に伴う政令改正で「保有個人データの処理の方法」の公表が求められるためです。
2020年改正に伴う政令やガイドラインが現時点では出されていないため、具体的にどのような記載が適切となるかは今後確認すべきポイントと言い得ます。

「利用目的を変更する場合」(2項)

個人情報保護法は、単に個人の権利利益を保護しようというものではなく、個人情報が有用性を有することを考慮し、これに配慮しつつも個人の権利利益を保護することを目的としています。
そこで、同法は、合理的な範囲での利用目的の変更を認めることとしています。

「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」(2項)

「関連性を有する」とは、「当初の利用目的からみて通常人にとって予測が困難でない程度の関連性がある」ことを意味すると考えられています。
また、「合理的に認められる範囲」とは、「社会通念に照らして客観的に合理的と認められる」ことを意味すると考えられています。

すなわち、「変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内」(前記ガイドラインp27)である場合には、利用目的の変更が可能ということになります。
なお、「本人が通常予期し得る限度と客観的に認められる範囲内」か否かは、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されるものとされています。

前記ガイドラインp27
　「『本人が通常予期し得る限度と客観的に認められる範囲』とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。」

前記Q&A pp18-19によると、利用目的の変更が認められると考えられる場合、変更が認められないと考えられる場合は、それぞれ次のとおりとされています。

• 利用目的の変更が認められると考えられる場合(A2-8)
  • 「当社が提供する新商品･サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品･サービスに関する情報のお知らせ」を追加する場合
  • 「当社が提供する既存の商品･サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品･サービスに関する情報のお知らせ」を追加する場合
    (例えば、フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する場合もこれに含まれ得ると考えられます。)
  • 「当社が取り扱う既存の商品･サービスの提供」という利用目的について、「新規に提供を行う関連商品･サービスに関する情報のお知らせ」を追加する場合
    (例えば、防犯目的で警備員が駆け付けるサービスの提供のため個人情報を保有していた事業者が、新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する場合もこれに含まれ得ると考えられます。)
  • 「当社が取り扱う商品･サービスの提供」という利用目的について、「当社の提携先が提供する関連商品･サービスに関する情報のお知らせ」を追加する場合
    (例えば、住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する場合もこれに含まれ得ると考えられます。)
• 利用目的の変更が認められないと考えられる場合(A2-9)
  • 当初の利用目的に「第三者提供」が含まれていない場合において、新たに、法第23条第2項の規定による個人データの第三者提供を行う場合
  • 当初の利用目的を「会員カード等の盗難･不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品･サービスに関する情報のお知らせ」を行う場合

なお、変更された利用目的は、本人に通知するか、又は公表しなければなりません(個人情報保護法18条3項)。

個人情報保護法第18条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2　(略)
3　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

まずはお気軽にお問い合わせください。