今月は、JIS Q 15001:2017「利用に関する措置(A.3.4.2.6)」についてご説明します。

 

JIS Q 15001:2017において、個人情報を利用する場合には、『特定した利用目的の達成に
必要な範囲内で個人情報を利用しなければならない』と定めています。このため、
特定した利用目的の達成に必要な範囲を超えて個人情報を利用(目的外利用)する場合は、
但し書きに該当する場合を除き、改めて必要事項を本人に通知するとともに、同意を得る
必要があります。

 

それでは、この「目的外利用」に該当する可能性があるケースとはどのようなケースなので
しょうか。

 

事例)

Aさんは雑貨店を営んでいる。人員不足のためアルバイトを募集していたが、なかなか人が
集まらなかった。そのため、ポイントカードに登録しているお客様をアルバイトに勧誘しよ
うと思い、事前にそのお客様の同意を得ることなく、登録された電話番号に電話をかけて、
勧誘した

 
個人情報を取得する際に、その利用目的を適切に伝えて情報を取得していたとしても、
本来の利用目的を超えてどのように利用しても良いという訳ではありません。このケースでは、
顧客向けに提供されるサービス(ポイントの付与・管理等)のために取得した個人情報を、
採用活動(アルバイト勧誘)に利用しているため、一般的には利用目的の達成に必要な範囲を
超えていると判断されます。

このように、個人情報を取り扱うに際して、その利用方法に変化が生じる場合には、
(個人情報を取得した際に本人へ通知した)利用目的の達成に必要な範囲内での情報利用で
あるかどうか、必ず確認する必要があります。利用目的の達成に必要な範囲を超えるようで
あれば、改めて必要事項を本人に通知し、同意を得た上で利用するようにしましょう。