プライバシーマークの準拠規格であるJIS Q 15001の各要求事項について解説していきます。今回は「3.4.2.6 利用に関する措置」です。
事業者は,特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は,あらかじめ,少なくとも,3.4.2.4 のa)~f) に示す事項又はそれと同等以上の内容の事項を本人に通知し,本人の同意を得なければならない。ただし,次に示すいずれかに該当する場合は,この限りではない。
a) 法令に基づく場合
b) 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき
c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき
d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は,あらかじめ,少なくとも,3.4.2.4 のa)~f) に示す事項又はそれと同等以上の内容の事項を本人に通知し,本人の同意を得なければならない。ただし,次に示すいずれかに該当する場合は,この限りではない。
a) 法令に基づく場合
b) 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき
c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき
d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
まずは、「特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない」から考えてみます。ここは個人情報保護法改正にも関わってくるのですが、特定した利用目的が達成された場合は、継続して保有することができない、と読むことになります。勿論継続して保管することが法律上義務付けられている場合等はこの限りではありません。継続して保管する場合の法律上の根拠には税法が使われることが多いです。そのため、税法上の義務を根拠に「7年保管」としているケースが多いと感じます。
次に「利用目的の達成に必要な範囲を超えて個人情報を利用する場合」についてですが、3.4.2.4(直接書面取得)の同意(ただしg)h)は除く)を取る必要があります。
これはほぼ無理と考えるべきなので取得する際の「利用目的の設計」をしっかり検討するべきでしょう。
予め特定した利用目的の範囲内かどうかの判断基準については、個人情報保護法改正により利用目的変更の要件が緩和されたと言われています。経産省ガイドラインの改正等で具体的な指針が出てくるはずなので、そちらを待ちましょう。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ