目的明確化の原則 【Pマーク8原則シリーズ その3】

プライバシーマーク（Pマーク）の根本原則であるOECD8原則の3つ目は「目的明確化の原則」です。今回の記事ではこの原則について考えたいと思います。

目的明確化の原則（Purpose Specification Principle）とは

目的明確化の原則とはこのような内容です。

「個人データの収集目的は、収集時よりも遅くない時点において明確化されなければならず、 その後におけるデータの利用は、当該収集目的の達成又は当該収集目的に相矛盾せず、かつ、目的の変更の都度明確化された他の目的の達成に限定されなければならない。」

プライバシーマーク（Pマーク）取得会社は、この原則に調和して自社の個人情報保護に関連するすべての方針や規定、手順を策定・更新しなければなりません。

解説

目的明確化とは取得した個人情報をどんな目的で利用するのかを定め、明らかにすることをいいます。

“明確にする”ということですから、利用目的はだれの目にも理解できる程度に具体化されていることが必要です。漠然と「サービス提供のため」としか定めていない場合や、あるいはたくさんの利用目的が羅列されていて個別の利用目的が特定できない場合などはプライバシーマーク（Pマーク）上でも不適切な例とされています。

利用目的はいつの段階で明確にする必要があるのでしょうか。OECDの原則では「収集時よりも遅くない時点において」とうたわれています。要は取得する時点ですでに利用目的を明らかにしておかなければならないということです。

実際個人情報を取得するときは本人に対して利用目的を通知しなければなりませんから、そういう意味でもあらかじめ目的を明確化しておくことは必要と言えます。

とはいえ目的を明確化するのは適切な個人情報管理の第一段階にすぎません。もっと大切なのは明確化した利用目的に従って個人情報を活用することです。まさに「その後におけるデータの利用は、当該収集目的の達成又は当該収集目的に相矛盾せず」という文言がそのことを示しています。

この点、会社としてはもちろんのこと個人情報を実際の業務で取り扱う個々の社員レベルにおいても利用目的に沿った個人情報の利用が徹底されるようにしなければなりません。そのためにもプライバシーマーク（Pマーク）では、台帳に明記するなどして従業員が利用目的を把握する手段を整備することを実施規範として掲げています。

さらに目的明確化の原則には「目的の変更の都度明確化された他の目的の達成に限定されなければならない」という文言もあります。

個人情報の利用目的は当初の目的と関連性がある限り変更できるようになっています。しかしその場合も変更後の利用目的を本人に通知すべきことは言うまでもありません。そして変更後はその利用目的の範囲内で個人情報を利用しなければなりません。

Pマークとの対応

目的明確化の原則はプライバシーマーク（Pマーク）の中の以下の項目で適用されています。

3.4.2.1　利用目的の特定

まとめ

利用目的を明確化したうえで個人情報を取得することは個人情報保護やプライバシーマーク（Ｐマーク）の取得・更新の大前提です。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】