第122号 令和5年3月1日
伴弁護士の法律の窓
【テーマ】
個人情報保護法における個人情報の利用目的の公表・通知
【質問】
企業が個人情報を取得する際に注意することはありますか
【回答】
個人情報保護法は、企業が個人情報を取得するにあたり、利用目的をできる限り特定して、公表または通知しなければならないと規定しています。
【説明】
- 前提
個人情報保護法が適用されるのは、全ての企業ではありません。しかし、個人情報を整理し、目次等から容易に検索すること ができるものを事業において使用している企業は対象となります。例えば、個人情報を五十音順に並べており、検索できる ものを作成している企業は対象となります。ほとんどの企業が対象となるといえます。 - 利用目的のできる限りの特定
個人情報保護法は、企業が個人情報を取り扱うにつき、利用目的をできる限り特定しなければならないと規定しています。できる限りの特定とは、企業が取得した個人情報の取り扱いを、利用目的から個人情報提供者がどのように取り扱われるのかを予測できる程度に特定することが必要です。
例えば、商品を販売する企業であれば、「取得した個人情報を事業における商品の発送のために利用します」と記載されている場合には、個人情報提供者は、企業が提供した個人情報を商品の発送のために利用することが、その利用目的から予測することができるため、具体的に特定されているといえます。一方で、「企業のサービス向上のため」等と抽象的な記載にとどまっている場合では具体的な特定とはいえません。 - 利用目的外の利用の制限
企業は、上記利用目的の達成に必要な範囲を超えて、個人情報を利用する場合には、あらかじめ個人情報提供者本人の同意を得なければなりません。
利用目的の達成に必要な範囲を超えて、個人情報を利用する場合の具体例として、利用目的に記載がないのに、顧客の住所を利用して、営業のDMを送ることが考えられます。
本人の同意とは、個人情報提供者が企業によって示された方法により個人情報を取り扱われることを承諾することをいいます。具体的には、個人情報提供者本人の口頭による意思表示や、同意する旨の書面の提出があげられます。 - 利用目的の公表・通知
企業は特定した利用目的を公表または通知をしなければなりません。公表の具体例として、自社のHPのアクセスが容易な場所への記載や、企業内の顧客の目に入る場所での掲示が考えられます。個人情報提供者が容易に利用目的を確認できる場所への記載・掲示が必要なので注意が必要です。通知の具体例としては、契約書の控えに記載することが考えられます。
個別に通知を行うよりも、公表の方が、容易に行うことができる場合が多いので、可能な限り、利用目的を公表するようにしましょう。
