個人情報の利用目的ってどんな感じにすべきなの?

皆さんの会社にある個人情報について、「なぜこの個人情報を持っているんですか?」と聞かれて答えれない個人情報があったりしませんか?

 

実は会社が個人情報を持つ上ではちゃんと利用目的を定めておく必要があります。

履歴書の個人情報は採用選考や入社後の従業員管理のためです。みたいな感じです。

 

今回は個人情報を取得・管理する際の個人情報の利用目的について触れていきたいと思います。

 

【利用目的ってなに?】

利用目的ってなんですか?とたまに質問をもらいますが、言葉の通りで個人情報を利用する目的です。

個人情報をなぜ取得するのか。何のために使っているのか。みたいな感じですね。

 

皆さんの会社にある個人情報をイメージしてもらい、「何のために使っているのか」を想像してみてください。

イメージできるはずです。それは普段から仕事で個人情報を使っているので、その仕事内容が浮かんでいるのではないでしょうか。

・採用選考のため・・・

・メルマガ配信のため・・・

・商品の発送のため・・・

などなど仕事内容によって様々です。

 

逆に会社にある個人情報で「何のために使っているのか」などが全くイメージ出来ないものがあった際には注意が必要です!!

 

 

【なぜ利用目的の特定が必要?】

なぜ個人情報の利用目的の特定が必要かと言うと端的に言うと個人情報保護法の中で求められているからです。個人情報保護法の中では15条で「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない」と定めています。(個人情報保護に関する法律から抜粋)

「できる限り」となっていますが、利用目的を定めておく必要があるわけです。

 

また、プライバシーマーク(以下、Pマーク)では要求事項のA3.4.2.1でも似たような記述となっています。

現地審査においては「できる限り」の文言は無視され、利用目的を特定しなければならない。取られているため、利用目的の定めていない個人情報があれば、指摘事項として特定しろ!と言われてしまいますが・・・

 

【NGな利用目的ってあるの?】

では、その利用目的について、NGな利用目的などはあるのでしょうか。

結論としてはNGな記述はありません。

ただ、「可能な限り具体的」である必要があるので、「マーケティングのため」などざっくり過ぎる内容の場合はもっと具体的に例えば「年齢別の購入層を調査するマーケティングのため」など定める必要があります。

 

後、もちろんですが、コンプライアンス的にアウトな利用目的も注意が必要です。

例えば、「名簿業者に販売するため」なんかの利用目的だと具体的に定めているのでしょうが、コンプライアンスを考えるとNGとなってしまうように感じます・・・

 

このように利用目的1つにしてもある程度明確にしておかなければなりません。

また、Pマークを取得する上では必ず利用目的を定めて個人情報管理台帳に明記する必要もあります。

どうすべきか分からない方々はぜひクリアス法務事務所までご相談ください。