個人情報利活用について

 1 前々回(メールマガジン第14号)の個人情報の取り扱いに関する注意点④「取得における注意点」において、個人情報の利用目的をできる限り特定し、通知又は公表しておく必要があることについてご説明させていただきました。
  今回のテーマである「個人情報の利用」に関しては、予め特定された利用目的の範囲内でしか個人情報を取り扱うことができないという制限がありますので、目的外利用との指摘を受けないように注意しなければなりません。
  そのため、取得した個人情報を利活用(例えば、顧客に対し、商品やサービスに関する情報発信を行う等。)する予定があるのであれば、まずは、個人情報の取得時に、想定される利用目的について、できる限り幅広く設定し、プライバシーポリシー等に盛り込んでおく必要があります。

2 とはいえ、新規事業の展開等に伴い、個人情報を取得した段階又はプライバシーポリシーを作成した段階では想定していなかった利用目的が事後的に発生することもあるかと思います。
  そのような場合、まず検討すべきは、個人情報保護法17条2項に定められた利用目的の変更による対応が可能か否かということです。
  個人情報保護法17条2項では、「変更前の利用目的と関連性を有すると合理的に認められる範囲」で利用目的を変更することが認められており、この要件を満たす利用目的の変更を行った場合は、当初の利用目的と異なる変更後の利用目的により個人情報を利用することが可能となります。
  利用目的の変更が認められるか否かについては、個人情報保護委員会の定める「個人情報の保護に関する法律についてのガイドライン」に関するQAQ2―8、Q2-9(https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q2-8)に具体例が記載されておりますので、興味のある方はご参照下さい。
  なお、利用目的を変更した場合は、変更された利用目的を本人に通知し、又は公表しなければなりません。

3 当初特定していた利用目的の範囲を超えて個人情報を取り扱う場合で、上記の利用目的の変更で対応することが出来ない場合には、原則として、事前に本人の同意を得る必要があります(個人情報保護法18条1項)。
  同意を得る方法については、個人情報保護法上、特段定めはありませんが、同意を取得したことを後に立証することが可能となるように、書面又は電磁的記録(本人からの同意する旨のメールの受信、webサイト上の同意する旨のボタンのクリック等。)により、同意を取得されることをお勧めいたします。