弁護士 野溝夏生

個人情報取扱事業者の義務(「利用目的の特定」編)

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

利用目的の特定(15条)

個人情報保護法第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

「個人情報を取り扱うに当たっては」(1項)

「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。
しかし、利用目的の特定義務は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります
このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の利用目的の特定義務の範囲とが、それぞれ異なっていることには注意が必要です。

また、顧客の個人情報だけでなく、従業員の個人情報を取り扱う場合の当該従業員の個人情報も、本項の適用対象となります。

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p17
 「従業員を雇用するに当たり当該従業員の個人情報を取り扱う場合も、当該個人情報の利用目的をできる限り特定する必要があります。加えて、個人情報取扱事業者と従業員本人との間で争いとならないようにするためには、あらかじめ労働組合等に通知し、必要に応じて協議を行うことも望ましいと考えられます。」(A2-2)

さらに、公開情報であっても個人情報であることには変わりないため、例えば登記簿等を閲覧することによって個人情報を取得する場合であっても、利用目的を特定しなければなりません(前記Q&A p18(A2-4))。

ただし、個人情報に該当しない統計データ等であれば、そもそも個人情報ではないわけですから、個人情報保護法上は、その取扱いにかかる利用目的を特定する必要はないこととなります(前記Q&A p18(A2-5))。

「その利用の目的」(1項)

ここでの「利用の目的」とは、究極的な利用目的を意味するとされ、個人情報取扱事業者ごとに利用目的が定まることになるとされています。
また、自己利用の場合に限定されず、第三者への販売等も含まれます。
なお、取得及び廃棄を除く個人情報の取扱い全般が意味すると考えられており、単に個人情報を保管するにとどまる場合であっても「利用」に該当するとされています。

前記Q&A pp17-18
 「取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。」(A2-3)

「できる限り特定しなければならない」(1項)

個人情報保護法15条1項は、どのような目的で個人情報を利用するのかについて個人情報取扱事業者に具体的かつ明確に認識させることにより、当該目的を達成するために必要最小限の範囲で個人情報を取り扱わせ、個人情報を本人の同意なくして目的外利用させず、もって個人の権利利益を保護する趣旨で設けられています。
ですから、文言上も「できる限り特定しなければならない」とされ、可能な限り具体的な目的とすることを個人情報取扱事業者は求められているのです。

前記Q&Aでは、本人の個人情報がどのような事業にどのような目的で利用されるのか、一般的かつ合理的に想定できる程度まで特定する趣旨であるとされています。

前記Q&A p17
 「利用目的を『できる限り』特定するとは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、本人にとっても、自己の個人情報がどのような事業の用に供され、どのような目的で利用されるのかが、一般的かつ合理的に想定できる程度に特定するという趣旨です。
 このため、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましく、例えば、単に『お客様のサービスの向上』等のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。」(A2-1)

例えば、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp26-27によると、次のような程度では、原則として「できる限り特定し」たとは言えないとされています。

前記ガイドラインでは、次のような場合であれば、具体的に利用目的を特定しているとしています。

前記ガイドラインp26  「事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、『○○ 事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。』等の利用目的を明示している場合」

ただし、取り扱う情報が「保有個人データ」に該当する場合には、2020年改正により、実務的に異なる記載のほうが適切であるとされる可能性が考えられます。
これは、2020年改正に伴う政令改正で「保有個人データの処理の方法」の公表が求められるためです。
2020年改正に伴う政令やガイドラインが現時点では出されていないため、具体的にどのような記載が適切となるかは今後確認すべきポイントと言い得ます。

「利用目的を変更する場合」(2項)

個人情報保護法は、単に個人の権利利益を保護しようというものではなく、個人情報が有用性を有することを考慮し、これに配慮しつつも個人の権利利益を保護することを目的としています。
そこで、同法は、合理的な範囲での利用目的の変更を認めることとしています。

「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」(2項)

「関連性を有する」とは、「当初の利用目的からみて通常人にとって予測が困難でない程度の関連性がある」ことを意味すると考えられています。
また、「合理的に認められる範囲」とは、「社会通念に照らして客観的に合理的と認められる」ことを意味すると考えられています。

すなわち、「変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内」(前記ガイドラインp27)である場合には、利用目的の変更が可能ということになります。
なお、「本人が通常予期し得る限度と客観的に認められる範囲内」か否かは、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されるものとされています。

前記ガイドラインp27
 「『本人が通常予期し得る限度と客観的に認められる範囲』とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。」

前記Q&A pp18-19によると、利用目的の変更が認められると考えられる場合、変更が認められないと考えられる場合は、それぞれ次のとおりとされています。

なお、変更された利用目的は、本人に通知するか、又は公表しなければなりません(個人情報保護法18条3項)。

個人情報保護法第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 (略)
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く