西山

目的外利用かどうか? 従業員が判断に迷う場合は?【Pマーク取得の基礎知識】


 

個人情報取り扱いの原則の一つに「目的明確化の原則」というものがあります。「目的明確化の原則」とは、個人情報を取得・利用する場合は必ず利用目的を明確にしなければならないというものです。

プライバシーマーク(Pマーク)の規格であるJIS Q 15001も個人情報保護法もこの原則を具体化する形で個々の条項が存在しています。

また個人情報取り扱いのもう一つの原則として「利用制限の原則」というものもあります。「利用制限の原則」とは、特定された利用目的を超えて個人情報の利用を行ってはならないという原則で、これもまたプライバシーマーク(Pマーク)取得会社においては重要な指針の一つとなります。

これらの原則をまとめると、プライバシーマーク(Pマーク)取得会社は含むすべての個人情報取扱事業者は、個人情報の利用目的を定め、それを会社として守らなければならないという考え方に至ります。

 

目的外利用かどうか判断に迷う場合もある

プライバシーマーク(Pマーク)取得会社では個々の種類の個人情報を取得開始する際に必ず利用目的を定め、その内容に問題ないか個人情報保護管理者などの承認を得るようにします。

明らかにその利用目的の範囲内で利用されていると断言できるようなケースでは特に問題ないのですが、個人情報の取り扱いを続けていくと、時には派生的な利用が生じ、それに伴い「この利用は当初の利用目的の範囲内だろうか?」という疑問が出てくることもあります。

特に個人情報を取り扱う業務従事する従業員がそのような疑問を持つ場合もあります。

 

判断に迷う場合は管理者に確認する

ではそのように判断に迷う場合はどうしたらよいのでしょうか? プライバシーマーク(Pマーク)の趣旨に沿った回答は、「判断に迷う場合は管理者に確認する」です。ここでいう「管理者」とは社内の個人情報保護管理者のことです。

当初利用目的を定めた際も管理者の承認を得ているはずですが、それだけでなく派生的な個人情報の利用が利用目的からしてグレーゾーンで、利用目的から外れているかもしれないような場合も管理者に判断を仰ぐ必要があるということです。

個人情報保護管理者は当初定められた利用目的の意図や背景、また会社における個人情報取り扱いの状況などを総合的に観察できる立場にいますので、利用目的に該当するかどうかの判断もより専門的な観点で下せる立場にいます。

 

Pマークの更新審査

ところで、個人情報が目的外利用かどうか不明の場合の手順が適切かどうかは、プライバシーマーク(Pマーク)の更新審査などでどのように審査されるのでしょうか。

まずは“判断に迷う場合に管理者に判断を求める”ということが文書の中で規定されているかどうかが審査のポイントとなります。

また現地審査では実際に従業員に対する質問がなされ、判断に迷う場合にどうするかを確認される場合もあります。

 

まとめ

ですからプライバシーマーク(Pマーク)取得会社としては、個人情報の派生的な利用が利用目的内かどうかわからない場合は個人情報保護管理者に確認するよう従業員を指導しておくことが必要です。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山