fbpx

情報セキュリティにまつわる
お役立ち情報を発信

あり? なし? こんな利用目的【Pマーク取得の基礎知識】

 

お客様から個人情報を取得するに当たってプライバシーマーク(Pマーク)取得会社は個人情報の“利用目的”を定めていなければなりません。

実のところこれはプライバシーマーク(Pマーク)取得会社に限らす個人情報を取り扱うすべての事業者が行うべきことです。

利用目的とは“わたしたちはお預かりした個人情報をこんな目的で利用します”と定めた内容のことで、プライバシーマーク(Pマーク)では利用目的の特定を個人情報の取得の段階で行うよう規定されています。

利用目的はどのように定めればよいのでしょうか? 以下にいくつか事例を挙げながら考えたいと思います。

 

公序良俗に反する利用目的を定める

もちろん不可です。公序良俗とは公の秩序と善良の風俗のことですが、そのような社会的常識から逸脱した個人情報の利用目的を定めることはできません。

加えて個人情報の利用目的が他の法律に抵触するような場合は法的にもプライバシーマーク(Pマーク)上も違法または不適合となりますので注意する必要があります。

 

「事業活動に用いるため」

このような利用目的の定め方はできません。会社の事業のために個人情報を取得するのは事実かもしれませんが、「事業活動に用いるため」では具体的にどんな使い方をするのかがお客様には見えません。

プライバシーマーク(Pマーク)の規格書であるJIS Q 15001では、個人情報を取得する場合に「その利用目的をできる限り特定し」なければならないと言われていますので、抽象的なものではなく具体性のある目的を示さなければならないのです。

 

「提供するサービスの向上のため」

このような利用目的の定め方でも不十分です。「事業活動に用いるため」よりは明確化されていますが、それでもまだ具体性が欠けています。

お客様は会社が自分の個人情報を使ってどんなアクションを起こすのか、また自分に対して起こしてくるのかという部分に関心を持ちます。その部分をお客様が予測できるような定め方をする必要があるのです。

 

「商品の発送、および新商品に関する情報のお知らせのため」

このような利用目的の定め方だと、ある程度内容に具体性があります。プライバシーマーク(Pマーク)上でも問題ない範囲の利用目的と言えるでしょう。

 

利用目的をたくさん列挙する

目的外利用にならないように利用目的を多数列挙しているプライバシーマーク(Pマーク)取得会社もあるようですが、それだと利用目的が特定されませんし、利用目的を特定することを要求するプライバシーマーク(Pマーク)の規格から見ても不適合となってしまいます。

 

利用目的を変更する

「利用目的を変更してもよいのか?」と疑問に思われる方もいらっしゃいますが、個人情報保護法では「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」であれば更新してもよいとされています。

プライバシーマーク(Pマーク)上でも特段の規定がないため、利用目的の変更については個人情報保護法と同じ基準で考えてよいかと思います。

 

まとめ

個人情報の利用目的を定める際は、具体的で適切な内容であるかをお客様目線で確認するようにしましょう。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る