JAPHICマークの取得を目指す事業者は、個人情報保護法に基づいたガイドラインに適合しているかどうか、事前に自己評価を行う必要があります。
このとき、チェックする項目は多岐にわたりますが、その一つに個人情報の利用目的の設定が挙げられます。
今回は、具体的にどのように利用目的を設定すれば良いのかについて解説します。
利用目的の特定
JAPHICマークを取得する事業者は、個人情報の利用目的について抽象的、一時的に特定するのではなく、個人情報が最終的にどのような事業の用に供され、どのような目的で利用されるのかについて、本人(顧客など)にとって一般的かつ合理的に想定できる程度に、具体的に特定することが望ましいとされています。
このような工夫により、個人情報が取り扱われる範囲を確定するとともに、本人の予測も可能になります。
例えば、顧客などから得た個人情報から、本人に関する行動や関心などの情報を分析する場合、事業者はどのような取扱いが行われているか、本人が予測、想定できる程度に、利用目的を特定しなければいけません。
利用目的の変更
JAPHICマークの取得を目指す事業者は、自社における個人情報の利用目的の変更に関する仕組みについても、ガイドラインに沿ったものにする必要があります。
具体的には、利用目的の変更がある場合で、本人の同意を要しない場合、変更前の利用目的と関連性を有すると合理的に認められる範囲で変更することが求められます。
つまり、当初の利用目的と一切関係ない利用目的に変更することは、基本的には難しいということです。
例えば、“事業者が新商品やサービスに関する情報を通知する”という利用目的に、“既存の関連商品に関する情報を通知する”という目的を追加する場合などは、客観的に考えて関連性があると認められるため、利用目的の変更が可能です。
一方、当初に利用目的に“第三者提供”が含まれていない場合において、新たに個人情報の第三社提供を行う場合などは、前後の関連性がないことから、変更が認められません。
利用目的による制限
JAPHICマークの取得を目指す事業者は、利用目的による制限に関する体制も見直す必要があります。
事業者は、特定された個人情報の利用目的の達成に必要な範囲を超えて、個人情報の取扱い、つまり目的外利用がある場合、本人の同意を得なければいけません。
ただし、以下のようなケースでは、目的外利用であっても同意は不要とされています。
・法令に基づく場合
・人の生命や財産の保護のために必要で、本人の同意を得るのが難しい場合
・公衆衛生の向上または児童の健全な育成の推進のために特に必要で、本人の同意を得るのが難しい場合
・国の機関もしくは地方公共団体などが法令の定める事務を遂行することに対し必要で、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
・当該個人情報取扱事業者が学術研究機関等である場合で、当該個人情報を学術研究の用に供する目的で取り扱う必要があるとき
・学術研究機関等に個人データを提供する場合で、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき
事業の承継
JAPHICマークの取得を目指す事業者は、事業の承継をすることにより、個人情報を取得した場合、当該個人情報にかかる承継前の利用目的の達成に必要な範囲内で取り扱わなければいけません。
つまり、事業の承継があった場合でも、顧客などの本人に変わらない個人情報保護の体制を提供しなければいけないということです。
まとめ
ここまで、JAPHICマークの取得に必要な個人情報利用目的の設定について解説してきましたが、いかがでしたでしょうか?
プライバシーマークなどとは違い、このようなマーク取得のための審査基準について、きちんと自社が適合できているかどうか確認できるのが、JAPHICマークの良さです。
そのため、スムーズな取得を目指すためにも、前述したようなポイントの確認を怠ってはいけません。
