利用目的の特定と変更
個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならなず、変更する場合も変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更することはできません(個人情報保護法第15条)。
アンケートの回答用紙などに利用目的が記載されているのをご覧になったことがあるかと思います。その根拠条文がこちらなんですね。
利用目的を変更できる範囲が広がりました。
平成27年改正前の条文は「相当の関連性を有すると合理的に認められる範囲」を超えて利用してはならない、としていました。
これが「関連性を有すると合理的に認められる範囲」に改められました。
つまり「相当の関連性」がただの「関連性」になったのです。この改正で目的を変更できる範囲が広がったとされています。
もちろん、主観的恣意的な判断で利用目的を変更してよいというわけではないのですが、改正前はごく限られた場合しか変更できないと解釈されていたものが、ふつうの人の感覚で判断して関係ありとできるのであれば変更して差し支えないということになったのです。
すべての個人情報が対象
利用目的を特定しなければならないのは「個人データ」についてですか、それとも「個人情報」全体についてですか、という出題例があります。
利用目的を特定しなければならないのは個人データに限られません。したがって、個人情報データベースに入力される前の「個人情報」についても利用目的を特定しなければなりません。
「個人データ」に関する規制は情報の管理、利用の場面の規制であること、「個人情報」に関する規制は情報の取得の場面の規制であると整理しておいてください。
できる限り特定
例示された利用目的が「できる限り特定」されているかが問われたこともあります。
「サービス向上のため」「マーケティングのため」ではぼんやりしすぎていてどのように利用されるのか分かりませんから不十分です。
利用目的による制限
個人情報取扱事業者は、あらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができません(第16条第1項)。
また、会社の合併など事業承継によって個人情報を取得した場合に、承継前の利用目的の達成に必要な範囲を超えて個人情報を取り扱うことはできません(同第2項)。逆に言えば利用目的の達成に必要な範囲を超えていなければ事業の主体が変わっても本人の同意を得る必要はないということですね。
本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる例外的な場合が4つ規定されています(同第3項)
- 例外1 法令に基づく場合
- 例外2 人の生命等の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 例外3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 例外4 国等が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
同意を得るために利用することは目的外利用ではない
はじめに特定した利用目的を超えて個人情報を利用する必要が生じたために本人の同意を得るべく、提供された電話番号に電話をすることは個人情報の目的外利用か?という問題です。
確かに、「いただいた個人情報は、個人情報の目的外利用の同意を得る場合のご連絡に利用させていただきます」などと利用目的を示すことはあまりないでしょう。
しかし、このような利用方法は目的外利用ではない、とされています。
例外の具体例
本人の同意を得ないで目的外利用ができる場合の具体例をイメージしておきましょう。
- 国勢調査に協力する(例外1)
- 本人の急病時に氏名や血液型や家族の連絡先を病院に伝える(例外2)
- 不登校児童の情報を児童相談所、学校、病院等で共有する(例外3)
- 警察の本人に関する事情聴取に協力する(例外4)