西山

個人情報の利用目的を定めるときの3つの注意点【Pマーク取得の基礎知識】


 

「わたしの生年月日、いったい何に使うんですか??」
個人情報の記入をお願いしている最中にお客様から聞かれたら、すぐに答えられますか?

プライバシーマーク(Pマーク)を取得している会社は個人情報を求める際、必ずその利用目的を定めておかなければなりません。
そしてその利用目的を公開していなければなりません。
プライバシーマーク(Pマーク)取得会社がそうすべきことはもちろんですが、そうでない会社であっても、お客様や取引先からの信頼を高めたいのであれば個人情報の利用目的を明確にしておくべきでしょう。

そこで個人情報の利用目的を定める際に気をつけたいことを押さえておきましょう。
3つあります。

 

公序良俗に反しない利用目的を定める

「公序良俗」とは国の法律や社会一般の道徳などのことを言います。
そのような常識の範囲内で他人の個人情報を利用すべきことは言うまでもありません。
個人情報を利用して犯罪にかかわったり嫌がらせをしたりすること、またそういう目的で情報を利用する意思を公表することは当然NGです。

 

利用目的は具体的に

たまに見かけますが、個人情報の利用目的を「サービス向上のため」とか「マーケティングのため」などとしか定めていない会社もあります。
サービス向上のために利用するのは事実でしょうし、公序良俗に反しているわけでもありません。
しかしながらこれでは実際のところ何のために利用しようとしているのかがお客様にはわかりません。

大切なのは具体性です。
「商品を発送するため」や「問い合わせに回答するため」であれば、住所やメールアドレスの提供が求められる理由がお客様から見てもはっきりします。

 

羅列すれば良いというものではない

利用目的が何個も何十個も列挙されていると、結局のところどの目的で個人情報が利用されるのかがわかりません。
会社の中には「個人情報を目的外利用している!」と指摘されないようありもしないような目的を抜け目なく羅列しているところもあるようですが、これでは利用目的を公表する意味がありません。

利用目的は会社の事業に支障を来たさない範囲で絞り込むようにしましょう。

 

まとめ

個人情報の利用目的を定めることはセキュリティの観点でも望ましいことです。
自社の契約書や利用規約等を改めて確認し、個人情報の利用目的が明記されているか、そしてその内容が公序良俗に沿っており、具体性があり、特定されているかという3点をチェックしてみてください。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山