利用制限の原則 【Pマーク8原則シリーズ その4】

プライバシーマーク（Pマーク）の根本原則であるOECD8原則の4つ目は「利用制限の原則」です。今回の記事ではこの原則について考えたいと思います。

利用制限の原則（Use Limitation Principle）とは

利用制限の原則とはこのような内容です。

「個人データは、目的明確化の原則に従い明確化された目的以外の目的のために、開示され、利用可能な状態に置かれ、又はその他の形での使用に供されてはならない。但し、以下の場合はこの限りでない。
（a）本人の同意がある場合
（b）法律により認められる場合」

プライバシーマーク（Pマーク）取得会社は、この原則に調和して自社の個人情報保護に関連するすべての方針や規定、手順を策定・更新しなければなりません。

解説

利用制限の原則では取得の際に定めた目的以外の方法で個人情報が利用されることが制限されていますが、この“利用”とは具体的に3つのことを指しています。

第一は「開示され」ることです。ここでいう開示とはおそらく第三者に提供するなどして個人情報を他の者が利用できる状態に置くことを意味しているようです。

第二は「利用可能な状態に置かれ」ることです。これは利用することのみならず利用できるようにネットワークですぐにアクセスできる状態に置くことなども含むものと理解してよいでしょう。

第三は「その他の形での使用に供され」ることです。たとえば個人情報に基づいて本人にアクセスする行為などがこれに含まれるでしょう。プライバシーマーク（Pマーク）の規格にも出てくる表現ですが、“本人にアクセスする”とは電話やメールやFAXや郵送などで本人との接触を図ることをいいます。

また個人情報を委託する行為も「その他の形での使用に供され」るケースの一つと解釈してよいかもしれません。

以上の3つは個人情報の利用目的の範囲内でしか行えませんが、例外となる状況もあります。

まず「本人の同意がある場合」です。この場合は本人がいいと言っているわけですから、同意を得た範囲内で個人情報を利用することができます。

プライバシーマーク（Pマーク）では、利用目的の範囲を超えて利用する前に本人に対して利用目的や第三者提供の内容、そして個人情報の管理者についての情報などを書面で本人に通知し、そのうえで同意を得ることが条件となっています。

もう一つ「法律により認められる場合」も目的外利用が許容される例外とされています。一般のプライバシーマーク（Pマーク）取得会社の日常業務においては稀にしか生じないケースかもしれませんが、たとえば刑事事件における捜査や公務上の質問検査権の行使などがこれに該当します。

Pマークとの対応

利用制限の原則はプライバシーマーク（Pマーク）の中の以下の項目で適用されています。

3.4.2.3　特定の機微な個人情報の取得,利用及び提供の制限
3.4.2.6　利用に関する措置
3.4.2.8　提供に関する措置

まとめ

利用制限の原則は一つ前の目的明確化の原則と似た部分がありますが、特にポイントとなっているのが“個人情報の目的外利用の禁止”であるという点で異なっています。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】