個人情報の利用目的はどうすれば変更できるか

IT・情報セキュリティ 公開 更新

 改正個人情報保護法の施行により、個人情報の利用目的の変更が容易になるということですが本当ですか。

 改正前の個人情報保護法では、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」を超えて個人情報の利用目的を変更できませんでした。改正後の個人情報保護法においては、「変更前の利用目的と関連性を有すると合理的に認められる範囲」であれば個人情報の利用目的を変更できるようになります。

 なお、改正後においても、個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければなりません。

解説

目次

  1. 改正前の規律
  2. 改正の背景
  3. 利用目的の変更の判断基準と具体例
  4. 諸外国の規制との関連
    1. OECDプライバシーガイドライン
    2. EUデータ保護指令

※本QAの凡例は注のとおりです1

改正後 改正前
(利用目的の特定)
第15条 (略)
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的の特定)
第15条 (略)
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

改正前の規律

 改正前の個人情報保護法では、個人情報取扱事業者に対して以下の規律を定めていました。

利用目的の特定
(個人情報保護法15条1項)
個人情報を取り扱うにあたっては、その利用目的をできるだけ特定しなければなりません。
目的外利用の禁止
(個人情報保護法16条1項)
あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません。
利用目的の変更の範囲
(個人情報保護法15条2項)
利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行なってはなりません。
利用目的の変更の通知・公表
(個人情報保護法18条3項)
利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければなりません。

改正の背景

 「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」については、旧・経産省ガイドラインにおいて以下の一つの例示のみが示されたことから、非常に狭い範囲でしか利用目的の変更は行うことはできないと一般的に考えられていました。

(旧・経産省ガイドラインに示された例示)
「当社の行う○○事業における新商品・サービスに関する情報のお知らせ」とした利用目的において「既存の商品・サービスに関する情報のお知らせ」を追加すること

 旧・金融庁ガイドラインにおいても、以下のとおり、「アンケート集計に利用」から「商品案内等の郵送に利用」への変更が認められないこととされていました。なお、この具体例は、金融分野ガイドラインにおいても維持されています。

(許容例)
「商品案内等を郵送」→「商品案内等をメール送付」

(認められない例)
「アンケート集計に利用」→「商品案内等の郵送に利用」

 もっとも、本人から利用目的の追加のために事前の同意を得る(個人情報保護法16条1項)のは事実上困難です。そこで、利用目的の変更の手段が実質上、利用目的の追加の手段として機能しています
 番号法上、特定個人情報(個人番号を含む個人情報)の利用目的の追加は本人の同意があっても認められないので、「利用目的の変更」として対処しているのが実態です。

 目的外利用における本人の事前同意(個人情報保護法16条1項)が、パーソナルデータの「利活用の壁」となっているため、事実上の利用目的の追加として機能している「利用目的の変更」をより容易にすることが考えられました。

参照:「改正個人情報保護法ではビッグデータの扱いをどのように定めたか

 そこで、「相当の関連性」を「相当」のを削除することで、個人情報取扱事業者が当初の利用目的と合理的と関連性を有すると合理的に認められる範囲において機動的に目的変更をすることを解釈・運用上可能としたのです。

 なお、改正後も、個人情報取扱事業者は、取得した利用目的を変更した場合には、本人に通知または公表をする必要があります(個人情報保護法18条3項)。

利用目的の変更の判断基準と具体例

 「変更前の利用目的と関連性を有すると合理的に認められる範囲」と改正がなされた後も改正が無限定に行われるわけではありません。

 特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち、変更後の利用目的が変更前の利用目的からみて、社会通念上、「本人が通常予期し得る限度と客観的に認められる範囲」内で変更することができます(GL(通則編)3-1-2)。

 「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されます(GL(通則編)3-1-2)。

 Q&A2-8においては、「利用目的の変更が認められると考えられる事例」として以下の具体例を掲げています。

  • 「当社が提供する新商品・サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品・サービスに関する情報のお知らせ」を追加する場合

  • 「当社が提供する既存の商品・サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合
    (例えば、フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する場合もこれに含まれ得ると考えられます。)

  • 「当社が取り扱う既存の商品・サービスの提供」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合
    (例えば、防犯目的で警備員が駆け付けるサービスの提供のため個人情報を保有していた事業者が、新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する場合もこれに含まれ得ると考えられます。)

  • 「当社が取り扱う商品・サービスの提供」という利用目的について、「当社の提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加する場合
    (例えば、住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する場合もこれに含まれ得ると考えられます。)

 Q&A2-9においては、「利用目的の変更が認められないと考えられる事例」として以下の具体例が掲げられています。

  • 当初の利用目的に「第三者提供」が含まれていない場合において、新たに、法第23条第2項の規定による個人データの第三者提供を行う場合

  • 当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を行う場合

諸外国の規制との関連

 「利用目的の変更の緩和」は、改正個人情報保護法における唯一の規制緩和です。

 このような規制緩和に関しては、「本人の事前の同意」により、「個人の権利利益の侵害を未然に防止する」という意義を軽視するものとして批判もあります。

 この点で、諸外国の規制との整合性も問題となりますが、立案担当者は以下のような観点で、諸外国の規制との観点でも矛盾がないものとしています(瓜生和久編著『一問一答 改正個人情報保護法』(商事法務、2015)62頁)。

OECDプライバシーガイドライン

 「OECDプライバシーガイドライン」は、OECD加盟国の個人情報保護に関する基本的な考え方となるものです。

 同ガイドラインでは、目的外利用にあたっての本人同意原則の変更を伴わない場合であっても、「利用目的に矛盾しない範囲で利用目的の達成に必要な範囲内」での利用が可能であるとされており、この範囲内であれば本人の同意は不要とされています

EUデータ保護指令

 EUデータ保護指令では、データ管理者の正当な利益が消費者のプライバシーリスクと比較して適切と判断される場合は、再度、利用目的を変更した場合に同意を取得する必要はないとされています

 具体的には、スマートフォンのモバイルアプリ経由でピザを注文して、その際にマーケティング目的で氏名、住所の使用をオプトアウトしなかった顧客に対して、後日、似たような商品の割引クーポンを自宅に郵送する場合は同意が不要とされています。

<追記>
2017年12月27日(水)14:15:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

    • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
    • 経産省ガイドライン:「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成28年12月28日厚生労働省・経済産業省告示第2号)
    • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」(平成29年2月28日個人情報保護委員会・金融庁告示第1号)
    • 旧・金融庁ガイドライン:「金融分野における個人情報保護に関するガイドライン」(平成21年11月20日金融庁告示第63号)
    • GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
    • Q&A:「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(平成29年2月16日個人情報保護委員会)

    ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

BUSINESS LAWYERS利用規約に同意の上、
「無料会員登録」を押してください。

会員の方はこちらから

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する