◆すべての事業者が個人情報保護法の対象に
平成27年9月3日に成立した改正個人情報保護法が、平成29年5月30日から全面的に施行され、すべての事業者が個人情報取扱事業者として同法の適用を受けることになりました。
個人情報取扱事業者は、個人情報の利用目的を特定したうえで、個人情報を取得した際に、これを公表または本人に通知しなければならないとされています。
しかし、本人に通知していた利用目的に漏れがあったり、事業の拡大により利用目的の追加が生じることも考えられます。その場合はどのように対応すればよいのでしょうか。
◆利用目的の変更が認められる範囲
まず、一旦通知した個人情報の利用目的を一方的に事業者が変更できるとすれば、事前に利用目的を通知しなければならないとした趣旨を没却することになります。そこで、原則として、本人の同意がなければ利用目的を変更することはできません。本人の同意を得る手続は、事業者にとって非常に負担の大きいものとなります。
もっとも、例外的に、「変更前の利用目的と関連性を有すると合理的に認められる範囲」については、変更後の利用目的を本人に対して通知するか、公表することにより、個人情報を利用することができるとされています。
例えば、フィットネス事業者における「顧客の食事メニューの指導」と「当該食事メニューに関する食品販売」という利用目的は、関連性を有するものとして認められると考えられています。
◆目的外利用に対する制裁とは
では、本人の同意を得ずに利用目的を変更した場合など、本人に通知していた目的の範囲外で個人情報を利用した場合はどうなるのでしょうか。
個人情報保護法では、法令に基づく場合(例:裁判官の令状による場合)など目的外利用が認められる例外事項が列挙されています。しかし、これらに該当しない場合には同法違反の行為となりますので、個人情報保護委員会という組織より、指導・助言、勧告・命令などを受ける可能性があります。また、これらの監督に従わなかった場合には、罰則が設けられています。