プライバシーマークの準拠規格であるJIS Q 15001の各要求事項について解説していきます。今回は「3.4.2.1 利用目的の特定」です。
- 事業者は,個人情報を取得するに当たっては,その利用目的をできる限り特定し,その目的の達成に必要な限度において行わなければならない。
「その利用目的をできる限り特定し」から考えてみましょう。
下記がダメな例として挙げられているものです。
・マーケティングの目的で
・当社の事業遂行の目的で
だからと言って、具体的に書きすぎるとその分、事業に対する足かせになってしまう可能性が生まれます。
利用目的は3つに分解して考えると良いと思います。
- サービスを提供するための利用
- 販促のための利用
- マーケティング分析等の内部での利用
①は自明ですし、③についてはわざわざ明示しなくとも良いという考えが可能です。
最も重要なのが②をどのように記述するか。
販促といっても、自社の同一事業に関する販促、自社の他事業に関する販促、グループ会社にか関する販促等、様々な可能性があります。事業の広がりを意識した記載が重要です。
利用目的の変更については、JIS規格よりも個人情報保護法を熟読した方が分かりやすいです。つまり、利用目的を微修正する際に、それが「利用目的変更」に該当するのか否かというポイントです。
保護法改正が影響する部分なので、「経済産業分野を対象とする個人情報保護に係る制度整備等調査研究 報告書」の該当箇所をしっかり読んでおきましょう。
次に利用目的を特定した上で実施するべき事項は何でしょうか。
新規事業をスタートする場合には、「個人情報取扱申請書」のような書面で利用目的等を特定した上で、個人情報保護管理者の承認を得る必要があります。また、「個人情報管理台帳」には利用目的を記載する欄を設けることが審査上必須となっておりますので、そちらにも反映させる必要があります。勿論、直接書面取得に該当する場合には、目的明示文にも反映させる必要があります。
以上、わずか1行程度の要求事項ですが、深く考えると非常に難しい項目です。
くどいですが、「経済産業分野を対象とする個人情報保護に係る制度整備等調査研究 報告書」を一読しておいてください。