ぃぇぁ!ソフトウェア・エンジニアーのかずです!!
法律についての専門教育を受けた事は無いので、軽い気持ちで読んでね。

ソフトウェア・エンジニアリングではときに法律の知識が必要になるものなので、 そこで得た知識をまとめて公開することによって、さらに詳しい人から訂正とかくると良いなという企画です。

※知識を手に入れる事は大切ですが、困ったときは専門家に相談してください。

お題

今回はいわゆる個人情報保護法から、個人情報取扱事業者の義務の一部を取り扱います。
具体的には利用目的について見ていきます。

前提知識として前回の個人情報取扱事業者の定義が必要なので、適時ご参照ください。

平成十五年法律第五十七号 個人情報の保護に関する法律から、第十五条と第十六条です。

条文

(利用目的の特定)
第十五条

  • 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
  • 2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
第十六条

  • 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
  • 2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
  • 3 前二項の規定は、次に掲げる場合については、適用しない。
    • 一 法令に基づく場合
    • 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
    • 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    • 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(整形のためにリスト化しています。)

毎度のことですがソースコードは大事です。
今回は2条まとめて見ていきます。

第十五条 第1項 利用目的の特定

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

利用目的できる限り 特定しなければならないとのことです。

どれくらい?という疑問は当然ですが、きっとチームの誰かがやってくれてますよね。

ガイドラインには以下のように書かれています。

  • 利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。
  • あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない。

「望ましい」という表現は努力義務ですが、OK例とNG例は以下のようになっています。

  • OK
    • 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
    • 「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
    • 「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
  • NG
    • 「事業活動に用いるため」
    • 「マーケティング活動に用いるため

ガイドラインには色々書かれているものの、重要な部分としては以下が満たされているかどうかと考えられます。

  • 個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

第十五条 第2項 利用目的の変更

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

目的を変更する場合にも合理的な変更しかしてはいけないとのことです。

同じくガイドラインを参照します。

  • 利用目的は、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することは可能である。
  • 「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。

これには何の例も書かれていないので、ギリギリを攻めることはおすすめしません。
自分の常識を疑いつつ、安全な方に倒すべきでしょう。

第十六条 第1項 利用目的による制限

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

「本人の同意」については次回以降取り扱います。

裏返すと、利用目的外の利用は本人の同意を得れば可能ということになります。

ガイドラインには、同意を得るために持っている個人情報を利用するのは問題がないと書かれています。
電話やメール・UserIDなども個人情報の一部なので、利用しないと連絡が取れず同意を得られないためでしょう。

第十六条 第2項 事業継承時の利用目的

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

この項も「事業継承」が絡んで来るので、詳しくは将来取り扱います。
今回は事業継承した場合には利用目的はそのまま引き継ぐということがわかれば大丈夫です。

つまり、もとの事業が持っていた利用目的の範囲内ではそのまま利用できます。

引き継いだ利用目的を変更したい場合や範囲を超えて利用したい場合は前項までの通りとなります。

第十六条 第3項 利用目的外利用の例外

3 前二項の規定は、次に掲げる場合については、適用しない。

利用目的に沿っていなくても利用できる例外事項が列挙されています。

条文は読んでもらうとして、大きく分けて2つあります。

  1. 条文の一と四: 他の法律や行政に従う場合
  2. 条文の二と三: 生命や社会の安全を守るために適切と思われる場合

要約すると以下のような感じです。

  • 警察の操作に協力する
  • 事故で意識不明の人の情報を救急隊員に提供する
  • 虐待から児童を救うための個人情報を児童相談所に提供する

社会通念的に提供しても炎上しなさそうな条件のものが例外として定義されています。
ガイドラインには大量に例があるので、必要な時に読んで見てください。

まとめ

今回は個人情報の利用目的の特定について取り扱いました。

途中で1度だけ「本人に通知」という用語が出てきましたが、基本的に特定した利用目的をどうしなければならないのかはここではまだ明記されていません。

「利用目的を決める必要がある」「決めた利用目的は変更が大変」の2点だけが今回の範囲になります。

次回以降、この利用目的をどう扱っていく必要があるのかを確認していきます。