利用目的を変更したいけど・・・【Ｐマーク取得の基礎知識】

特定した目的の範囲内でのみ個人情報を利用できるというのはプライバシーマーク（Pマーク）における個人情報利用の大原則です。

プライバシーマーク（Pマーク）取得会社は利用目的を超えて個人情報を利用してはなりません。そのような行為は目的外利用といって、単なる手順違反や不適合ではなく重大なリスクであり、法令違反にも該当します。

では当初定めた利用目的以外で個人情報を利用する必要が生じた場合、プライバシーマーク（Pマーク）取得会社はどうすべきでしょうか。この場合は利用目的を変更するために必要な手続きを実施することが必要となります。

利用目的変更とは

「利用目的の変更」とは個人情報の利用目的として当初特定した内容を変更し、変更後は変更された利用目的に沿って利用することを意味します。

なお注意点として、個人情報保護法では「利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」と規定していますが、このように関連性のある範囲内で利用目的を変更する場合でもプライバシーマーク（Pマーク）取得会社はこれからご紹介するような手続きを踏む必要があるという点を念頭に置いてください。

利用目的の変更について管理者の承認を得る

利用目的は簡単に担当者や担当部署内で変更してよいものではありません。利用目的の変更は会社としての個人情報の取り扱いに直接影響を及ぼす行為ですので、必ず会社の中で承認を得る必要があります。

管理者の承認を得る必要がありますが、ここでいう管理者とはプライバシーマーク（Pマーク）の取り組みを指揮する個人情報保護管理者などのことです。

すべてのプライバシーマーク（Pマーク）取得会社はすでに実施していると思いますが、利用目的を更新する場合に備え、個人情報保護管理者による社内での承認を得るための手順を定め、それを実施することが要求されます。

利用目的の変更について本人の同意を得る

社内で承認されても、本人の同意が得られていない状況ではまだ利用目的を変更してはなりません。

利用目的を変更するというのは個人情報の本人にとって重要なことです。もしかすると変更後の利用目的について「そのような目的であれば個人情報を使わないでほしい」と考えるお客様などもあるかもしれません。

そこで個人情報を取得したときと同様、プライバシーマーク（Pマーク）取得会社は利用目的を変更する前に本人に対して更新された利用目的などを通知し、それに同意してもらわなければなりません。単に通知するだけでは不十分です。同意が必要です。

通知と同意は書面で実施するのが望ましいですが、場合によってはそれが難しい場合もあります。そのような場合でも最低限口頭での通知や同意取得が必要となります。

まとめ

利用目的を変更すること自体は禁止されていません。ただし利用目的を変更する際のプライバシーマーク（Pマーク）における要求事項は必ず満たす必要があります。安易に利用目的を変更して顧客の信頼を失うようなことがないよう十分に注意しましょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】