目的外利用かどうか? 従業員が判断に迷う場合は?【Pマーク取得の基礎知識】

個人情報取り扱いの原則の一つに「目的明確化の原則」というものがあります。「目的明確化の原則」とは、個人情報を取得・利用する場合は必ず利用目的を明確にしなければならないというものです。
プライバシーマーク(Pマーク)(Pマーク)の規格であるJIS Q 15001も個人情報保護法もこの原則を具体化する形で個々の条項が存在しています。
また個人情報取り扱いのもう一つの原則として「利用制限の原則」というものもあります。「利用制限の原則」とは、特定された利用目的を超えて個人情報の利用を行ってはならないという原則で、これもまたプライバシーマーク(Pマーク)取得会社においては重要な指針の一つとなります。
これらの原則をまとめると、プライバシーマーク(Pマーク)取得会社は含むすべての個人情報取扱事業者は、個人情報の利用目的を定め、それを会社として守らなければならないという考え方に至ります。
目的外利用かどうか判断に迷う場合もある
プライバシーマーク(Pマーク)取得会社では個々の種類の個人情報を取得開始する際に必ず利用目的を定め、その内容に問題ないか個人情報保護管理者などの承認を得るようにします。
明らかにその利用目的の範囲内で利用されていると断言できるようなケースでは特に問題ないのですが、個人情報の取り扱いを続けていくと、時には派生的な利用が生じ、それに伴い「この利用は当初の利用目的の範囲内だろうか?」という疑問が出てくることもあります。
特に個人情報を取り扱う業務従事する従業員がそのような疑問を持つ場合もあります。
判断に迷う場合は管理者に確認する
ではそのように判断に迷う場合はどうしたらよいのでしょうか? プライバシーマーク(Pマーク)の趣旨に沿った回答は、「判断に迷う場合は管理者に確認する」です。ここでいう「管理者」とは社内の個人情報保護管理者のことです。
当初利用目的を定めた際も管理者の承認を得ているはずですが、それだけでなく派生的な個人情報の利用が利用目的からしてグレーゾーンで、利用目的から外れているかもしれないような場合も管理者に判断を仰ぐ必要があるということです。
個人情報保護管理者は当初定められた利用目的の意図や背景、また会社における個人情報取り扱いの状況などを総合的に観察できる立場にいますので、利用目的に該当するかどうかの判断もより専門的な観点で下せる立場にいます。
Pマークの更新審査
ところで、個人情報が目的外利用かどうか不明の場合の手順が適切かどうかは、プライバシーマーク(Pマーク)の更新審査などでどのように審査されるのでしょうか。
まずは“判断に迷う場合に管理者に判断を求める”ということが文書の中で規定されているかどうかが審査のポイントとなります。
また現地審査では実際に従業員に対する質問がなされ、判断に迷う場合にどうするかを確認される場合もあります。
まとめ
ですからプライバシーマーク(Pマーク)取得会社としては、個人情報の派生的な利用が利用目的内かどうかわからない場合は個人情報保護管理者に確認するよう従業員を指導しておくことが必要です。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]