ぼちぼち改正個人情報保護法を読む-15条・16条(利用目的の特定・変更と制限)

個人情報の取扱いは利用目的によって制限されています(16条)。
利用目的をのちに自由に変更できるのでは、利用目的による制限を設けても意味がなくなりますので、利用目的の変更には限界があります(15条2項)。この利用目的の変更は、改正で緩やかになりました。

利用目的をめぐる一連の規定

個人情報の適正な取扱いを図る観点から、個人情報取扱事業者は、個人情報を取り扱う場合に、その利用目的をできる限り特定しなければならない義務を負っています(15条1項)。
個人情報保護法は、このように個人情報の利用目的の特定を求めているほか、取得に際して利用目的の通知等を要求し(18条)、利用目的以外の取扱いおよび第三者提供を制限する(16条・23条)など、利用目的を中心にすえて個人情報の保護を図ろうとしています。
また、利用目的を偽った取得は、「偽りの取得」にもなります(17条)。

レストランでランチを食べるときに、アラカルトではなくセットメニューを頼むことがありますよね。メイン料理にサラダとデザートとコーヒーがついてきて、とても満ち足りた気持ちになります。

法律の条文も同じです。1条ごとに正確に理解する必要がありますが、関連性のある条文はセットで検討しておくと理解が早まり、分かった感が増します。
今回の記事では、利用目的の特定と利用目的による制限を中心にまとめてみました。

利用目的の特定

条文

(利用目的の特定)

第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

 

この条文は改正前後で変わっていません。

前述したように、利用目的を中心に個人情報の取扱いを図っているので、利用目的を前提とする規定を実効的に働かせるためには、その大前提である利用目的が特定される必要があります。

ここにいう「個人情報の取扱い」とは、個人情報の取得、保有、提供、利用その他個人情報の取扱いに関する一切の行為をいいます。この取扱いのすべての場面で、個人情報取扱事業は、利用目的をできる限り特定しなければなりません。

また、「利用目的」の中には、第三者に提供することも含まれます。

利用目的の具体性の程度

利用目的は、「できる限り」特定しなければなりません。

どの程度特定しなければならないかは、条文には記載がありませんが、個人情報の性質、利用方法、個人情報取扱事業者の事務の実施の必要性等が勘案された上で判断されるべきで、本人が利用の実態をも的確に認識できるよう可能な限り具体的であることが望ましいとされています(個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」2基本原則(1)利用目的による制限)。

一般的にいえば、本人の受ける影響を予測できるように、個人情報取扱事業者が、個人情報をどのような業務に利用し、どのような目的に利用するかを、可能な限り具体的、個別的に明確にすることが必要でしょう(旧通産省「個人情報ハンドブック」収集範囲の制限)。たとえば、会社の目的に書かれるような目的では、本人の受ける影響を予測できず、妥当でないと指摘されています(個人情報保護法制化専門委員会第10回議事録新見委員発言参考)。

たとえ、個人情報取扱事業者の業種の内容から利用目的が予測できる場合であっても、利用目的を具体的に明確にする必要があるでしょう。

なお、「できる限り」とは、利用目的を一般的、抽象的に特定するのではなく、可能な限り具体的、個別的に特定することを求める趣旨に出ており、個人情報取扱事業者の利用目的を特定する義務を緩和する趣旨ではありません(藤原静雄「個人情報保護法案について」季刊行政管理研究95号(2001年)9頁)。

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。」と書かれています。

そして、ガイドラインは、具体的に利用目的を特定している事例として、事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」と明示する例を挙げています(3-1-1)。

一方、具体的に利用目的を特定していない事例として、ガイドラインは、「事業活動に用いるため」、「マーケティング活動に用いるため」、「お客様のサービスの向上のため」を挙げています(3-1-1)。

利用目的の合法性・適正性の判断-届出制の是非

利用目的は、当然合法で適正なものでなければなりません。利用目的の合法性・適正性は、第1次的には個人情報取扱事業者が判断します。

これに対し、利用目的の合法性や適切性について届出制で判断する仕組みを取るという方向性が考えられます。しかし、個人情報保護法はこれを採用しませんでした。なぜなら、民間の全分野を通じて漏れなく登録・届出の義務を課せば、①民間事業者に対して、個人データを利用目的ごとの個人情報データベース等に区分して保有することを求めることとなり、本来自由であるべき事業活動を大幅に制約し、大きな負担を課すことになり、個人情報保護の重要性を考慮したとしてもなお問題が多いことや、②すべての業者について個人データの利用目的を全件登録するならば、新たな機関の設置が必要となり行政コストも大幅に増大するので、日本の現状にかんがみると現実的ではないからです(検討部会中間報告Ⅲ個人情報保護システムの在り方3基本法の意義※2全分野を通じた登録・届出制度について、個人情報保護法制化専門委員会第10回議事録)。

なお、行政機関個人情報保護法は、法運用の統一性および法適合性を確保する観点から、各行政機関が、総務大臣に対し、保有しようとする個人情報ファイルの名称、利用の組織の名称、利用目的、記録項目、記録範囲、記録情報、提供先等を事前に通知する制度が設けられています(10条)。これは、民間事業者と異なり、国の行政機関は事前規制が厳格であることを規定したものです(専門委員会第24回議事録藤井審議官説明)。

利用目的による制限

特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、本人の同意を得なければなりません(16条1項)。この点については後述します。

取得に際しての利用目的の通知等

条文

第18条

1 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

個人情報の本人が利用目的に注目するのは、取得時です。自分の個人情報がどのように取り扱われるかが不明な会社には個人情報の提供をちゅうちょするのは当然でしょう。

特定された利用目的は、個人情報取扱者の内部において明確化されるだけでなく、個人情報において識別される本人が認識できる状態に置くことが望ましいとされます(前掲大綱2.基本原則(1)利用目的による制限)。

個人情報取扱事業者の正当な利益を害するおそれまたは業務の適正な実施に支障を及ぼすおそれがある場合等を除き、通知、公表等により少なくとも本人が容易に知り得る状態に置かれる必要があります(大綱3. 個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

そこで、個人情報取扱事業者は、個人情報を収集する場合は、あらかじめ利用目的を公表していることが望ましいとされます。公表していない場合には、個人情報取扱事業者は、取得後速やかに、利用目的を本人に通知するか、または公表する義務があります。

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、本人への通知または公表が必要な事例として、次の3つを挙げています(3-2-3)。

  • インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • 個人情報の第三者提供を受けた場合

利用目的の変更

さて、利用目的はいったん特定したら、変更はできないのでしょうか。
いいえ、個人情報保護法は、改正前から利用目的の変更を認めています。
改正により、利用目的の変更が以前より緩やかにできるようになりました。

条文

(利用目的の特定)

第15条
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

 

改正前の条文では、利用目的の変更については「相当の関連性を有すると合理的に認められる範囲」という限定がついていました。

これは、個人情報の利用目的の変更を無制限に認めてしまえば、目的によって拘束した意味は減殺されてしまうため、社会通念上、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないとされたものです(大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

「相当の関連性を有すると合理的に認められる範囲」とは、①当初の利用目的との関連性があり全く関係のないものではないこと、かつ、②目的を変更することにより本人に不測かつ不当な権利利益の侵害を生じさせるおそれがないことの2つを考え合わせるべきであるとされていました(第24回議事録藤井審議官説明)。

改正の趣旨

しかし、この変更の制限は厳しいと理解されており、ビッグデータ時代における個人データの利活用のニーズに合致していないという指摘がなされるようになりました。
そこで、「相当の」という文言を削除し、当初の利用目的と関連性を有すると合理的に認められる範囲において機動的に利用目的の変更をすることを解釈・運用上可能としたものです。国会の審議では次のような説明がありました(第189回国会衆議院内閣委員会議録第4号15頁・2015年5月8日山口俊一国務大臣答弁。9頁にも同様の答弁あり)。

○山口国務大臣 委員御指摘のとおりで、現行法上、「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。」というふうに規定をされておりまして、この「相当の関連性」という文言につきましては、お話しのとおり、大変厳格な解釈、運用がされておるところであります。

一方、さまざまな情報通信技術の発達、あるいはビッグデータの収集、分析が可能になっていく中で、やはり、事業者の中には、取得をした個人情報、これを当初想定できなかった新事業とか新サービスで活用したいというニーズがあるわけでありますが、事業者がこれまでの厳格な解釈、運用を踏まえての利用をちゅうちょしておるものというふうに聞いております。

このため、今回の改正では「相当の」の部分を削除して、事業者が機動的に目的変更することを解釈、運用上、可能とするものでありますけれども、この変更できる利用目的の範囲につきましては、本人が通常予期し得る限度内であるというふうなことも想定をしております。

これによって、例えば電力会社が、顧客に省エネを促す目的で、家庭内の機器ごとの電気使用状況を収集して、その使用量等を分析して顧客に提示をしていた場合、あるいは、同じ情報を用いて家電制御技術の研究開発とか、その顧客の安否確認のサービスを行うということができるようにというふうなことが考えられるわけでございます。

いずれにしても、変更前の利用目的と関連性を有すると合理的に認められる範囲、これにつきましては、その詳細とか具体例につきましては、ガイドライン等で明確化をしていく予定にいたしております。

全く同じ答弁が、第189回国会衆議院内閣委員会議録6号14-15頁山口俊一国務大臣答弁、同参議院内閣委員会議録9号8頁向井治紀政府参考人答弁にあります。

質問が「相当」を削除した理由を聞くものなので、全く同一の答弁になるのは分かるのですが、これでは具体的にはどうなるのかという議論が深まる余地がありません。国会の審議を条文ごとに精査するように変えられないものでしょうか。

利用目的の変更が可能か否かの判断基準

上記の答弁に出てきたガイドラインを見てみると、

「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲ということだそうです(個人情報の保護に関する法律についてのガイドライン(通則編)3-1-2)。

また、「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されるとのことです(同上)。

残念ながら、ガイドラインは、現時点では具体例を挙げていません。

 

利用目的の変更の通知・公表

条文

第18条

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

 

改正前と同様に、個人情報取扱事業者は、利用目的を変更した場合には、変更された利用目的について、本人に通知するか、または公表しなければなりません(18条3項)。通知はメール等、公表はウェブサイトへの掲載などが考えられます。
具体的な方法については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」に書かれています(2-1-7、2-1-8)。
また、自身が対象事業者となっている認定個人情報保護団体の個人情報保護指針にも注意する必要があります。

たとえ、変更後に特定された利用目的の範囲が15条2項に照らして適法であったとしても、通知または公表がなされていない場合には、18条3項違反となりますので、通知または公表を忘れないようにしましょう。

通知・公表については、次の記事も参考にしてください。

参考記事

 

利用目的による制限

条文

第16条

1 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

 

個人情報取扱事業者は、特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません。利用目的を特定しながら、その特定した利用目的の達成とは別な目的で個人情報を取り扱うならば、利用目的の特定の意味がなくなってしまいます。

利用目的の変更との関係

この「前条の規定により特定された利用目的」とは、変更された利用目的も入りますので、前述したとおり、利用目的の変更が以前よりも緩やかに行うことができるようになったことと対応して、この利用目的による制限も一定程度緩やかになったといえるのではないでしょうか。

それでは、個人情報取扱事業者が利用目的を変更した場合に、それが利用目的による制限に違反する事例とはどのような場合でしょうか。

個人情報保護法の改正の立法担当者によれば、「事業者が「変更前の利用目的と関連性を有すると合理的に認められる範囲」内であるとして当初の利用目的を変更して特定した利用目的で個人情報の取扱いを始めたものの、客観的にみると、変更後の利用目的は変更が許される範囲を超えていた場合」があたるそうです(瓜生和久『一問一答 平成27年改正個人情報保護法』65頁)。

取得・利用・保有・提供の各場面に適用

「個人情報を取り扱ってはならない」とありますので、個人情報の取得、保有、利用、提供の各場面に、この条文は適用されると考えられます。

①取得

取得についてですが、利用目的の達成に必要な範囲を超えて個人情報を収集することはできません。すなわち、個人情報の収集は必要最小限であるべきです。

具体例として、レンタルビデオショップの本人確認のための自動車免許証のコピーなどがあります(個人情報保護法制化専門委員会第10回議事録)。ビデオの貸出目的のためには、本人の氏名、住所を自動車免許証の記載を照合して確認すれば足りるにもかかわらず、自動車免許証のコピーはそれ以外の個人情報である本籍地をも取得することになり、利用目的の必要最小限の取得に違反することになります。

なお、利用目的を偽った取得は、適正な取得(17条)の「偽り・・・により個人情報を取得してはならない。」との規定に違反します。

②保有

保有については、比較的最近の国会の審議で次のような答弁があります(第187回参議院消費者問題に関する特別委員会議録第3号15頁・2014年11月5日越智隆雄大臣政務官答弁)。

○大臣政務官(越智隆雄君) 議員御指摘のような、自身の個人情報の削除要請など、消費者の声に応えていくことは必要だというふうに考えております。

現行の個人情報保護法の中では、個人情報の保存期限を定める規定はございませんけれども、一方で、将来にわたって利用される見込みもなく漫然と保存する個人情報については、利用目的による制限との関係から、速やかに消去、廃棄すべきものという趣旨の部分がございます。これは第十六条でございますが、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」というふうに書かれております。

また、個人情報の保護に関する基本方針においては、自主的に利用停止などに応じるなど、本人からの求めに一層対応していくことについて事業分野ごとにガイドラインを作って、それを盛り込むということも求めているところでございまして、幾つかの省庁では既にガイドラインが定められているというところでございます。

消費者庁においても、事業者における個人情報の適切な取扱いが図られるように、引き続き必要な取組を行っていきたいというふうに考えております。

今回の改正で、データ内容の正確性の確保等(19条)の中に、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」との規定が新設されました。この点で、利用目的による制限については、19条で対応することが多くなるかもしれません。

③利用

利用についてですが、上記ガイドラインは、同意が必要な具体例として、「就職のための履歴書情報をもとに、自社の商品の販売促進のために自社取扱商品のカタログと商品購入申込書を送る場合」を挙げているだけです(2-2-1)。

個人情報保護法が制定される前の旧通産省の「民間部門における電子計算機処理に係る個人情報保護ガイドライン」を解説した「個人情報保護ハンドブック」では、「収集目的の範囲を超えて」について、企業内のある部門が収集した情報を同一企業内の他の部門が利用する場合には、「収集目的」の記載内容にもよるが、一般的に情報主体が想定しないような部門が利用する場合には、たとえ同一企業内であっても収集目的の範囲外として改めて情報主体の事前の了解を得ることが必要であると考えられる。」と書かれていました。

しかし、この記述は、個人情報保護法が制定された後の経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月)およびその後の一連のガイドラインには載っていません。個人情報保護委員会の上記のガイドラインと同じ記載があるだけです。このため、経済産業省では、同一企業内の他部門の利用については、「個人情報保護ハンドブック」よりも緩やかに解釈していたのではないかと思われます。

前述したように、利用目的の変更がより緩やかにできるようになった関係で、利用目的による制限もより緩やかになると思われます。

④提供

利用による制限については、個人情報取扱事業者内の利用に目が向きがちですが、利用目的に「第三者への提供」を挙げていないにもかかわらず、個人データを第三者に提供すれば、利用目的による制限の違反にあたることに注意が必要です。

事業の承継

条文

第16条

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

 

個人情報取扱事業者が、合併、分社化、営業譲渡等により他の個人情報取扱事業者から事業の承継をする際に個人情報を取得した場合は、承継前の利用目的の達成に必要な範囲内で取り扱う場合は目的外利用にはなりません。したがって、本人の同意を得る必要はありません。

本人の同意を不要とする場合

条文

第16条

3 前2項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 

利用目的を超えた利用であっても、本人の同意が必要とされない例外的な場合があります。上記の4つの場合です。この規定は改正前と同じですので、実務に変更はありません。

それぞれの具体的な事例については、「個人情報の保護に関する法律についてのガイドライン(通則編)」が分かりやすく充実した事例を挙げています。これに加えて、特定分野のガイドラインでは、事業の内容に即した事例が挙げられていますので併せて確認しておくとよいでしょう。

利用目的の変更・利用目的による制限の違反

個人情報取扱事業者が、利用目的の変更や利用目的による制限に違反した場合、個人情報保護委員会は監督機能を発揮することが期待されています。個人情報保護委員会が、個人情報取扱事業者の個人情報の不適正な取扱いを認知するのは、本人から苦情を受けたり、個人情報取扱事業者の利用目的の公表内容などから問題点を見つけたりすることが考えられます。その場合、任意に事情を聴くほか、必要に応じて報告徴収や立入検査により事実関係を確認します(40条)。また、必要な限度で、指導および助言をすることができます(41条)。個人情報の取扱いに問題があれば、是正のための勧告を行い(42条1項)、それに違反する場合には、一定の場合に勧告の措置をとるよう命令を出すこともできます(42条2項)。さらに、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときには、違反行為の中止その他違反を是正するために必要な措置をそるべきことを命ずることができます(42条3項)。

本人による利用の停止・削除請求

個人情報取扱事業者が、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱った場合、本人は当該事業者に対し、その個人情報(個人データ)の利用の停止または消去を請求することができます(30条)。
*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院(2003年)に、改正部分を加筆し、関連条文を盛り込み、修正したものです。