西山

こんな場面でも必要 個人情報の利用目的【Pマーク取得の基礎知識】


 

ブログ記事「個人情報の利用目的を定めるときの3つの注意点」では個人情報の利用目的の定め方についてご説明しました。

今回の記事はいつ入手する個人情報について利用目的を定めておく必要があるかをテーマにしたいと思います。
“いつ“と言いましたが、これは”会社が個人情報を集めるあらゆる場面のうちのどの場面で“という意味です。
これから3つの場面に注目し、それぞれの場面においてどのように個人情報の利用目的を明示できるかを考えたいと思います。

 

本人から直接入手する場面で

最も一般的なのはお客様本人から個人情報を記入してもらう、または入力してもらうというケースでしょう。
もっとも会社の場合はお客様ではなく従業員から個人情報を提供してもらうというケースもあります。

本人から個人情報を提供してもらう場合は原則として契約書や規約などで利用目的をはっきりと示さなければなりません。
もちろんインターネット上で個人情報を入力してもらう場合もそうです。
どのような文面にするかはそれぞれのプライバシーマーク(Pマーク)取得会社の方針によりますが、どんな場合でも本人が利用目的を知ったうえで個人情報を提供するような仕組みにしておく必要があります。

 

取引先から間接的に入手する場面で

時には提携している企業から間接的に個人情報を入手することもあります。
また会社によっては個人情報を提供してもらうことが仕事を受注するうえで不可欠という所もあるでしょう。
たとえばダイレクトメールの発送代行を事業にしている会社は、発注会社から発送先の氏名住所を載せたリストを入手する必要があるはずです。

このような場合は取引先との契約書の中で個人情報の利用目的を明示し、十分なセキュリティをもって保管することを確約しなければなりません。

 

公開された資料から取得する場面で

個人情報の中には本人から直接入手しなくとも取得できるものがあります。
たとえば土地の登記簿には個人の名前や住所が書かれていますが、この書類は法務局に行けばだれでも手に入れることができるものです。

この場合にも取得した個人情報の利用目的を定めておくことは必要です。
またその利用目的は公開された資料の目的の範囲内でなければなりません。

 

まとめ

個人情報の入手経路は一つではありません。
今回考えたように本人から直接入手することもあれば、取引先から間接的に入手することもあります。
公開された資料から取得することもあります。
プライバシーマーク(Pマーク)を取得している会社は個人情報を取得するあらゆる場面でその利用目的を明らかにすることが期待されています。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山