個人情報を保有する場合は、「目的」をしっかりするというのが前回の記事でした。個人情報を守る5つのポイントとして

①「もれなく・だぶりなく」リストアップ
②目的をはっきりさせることで意味のない個人情報の保有をしない
③目的外利用をしっかりと禁止することで漏えいルートを遮断
④安全管理で物理的な漏えいを遮断
⑤オプトアウトをしっかりと

がありました。今回は、③目的外利用をしっかりと禁止することで漏えいルートを遮断の話です。

まず、個人情報の利用目的ですが、通知や公表を行わなければなりません。ただしその方法については特に決まっていません。例えば、名刺交換をする際に、都度「今度会社案内を送付させていただく目的で名刺交換を」なんていうのは少し言いにくいです。このためホームページの分かりやすい場所(トップページからリンクがある)や店舗・事業所への掲示があります。なお、同意までの義務はありません。

個人情報の利用目的は、例えばこんな感じで特定することが考えられます。

「当社の新商品のご案内の送付のため」
「当社の商品の配送及びアフターサービスのご案内のため」

ちなみに取得の状況から、利用目的が明らかであれば、利用目的の通知又は公表は不要です。(例:配送伝票の記入内容を配送のために利用することは明らか)

では、「当社の新商品のご案内の送付のため」という目的で収集した個人情報を別の部署が、「ユーザー会のお知らせ」としてダイレクトメールを作りたいなど使いまわしてもいいのでしょうか?

答えはもちろんNGです。これを目的外利用と言います。目的を追加したい場合は、ユーザーに同意が必要です。ただし関連性のある範囲内での変更なら通知又は公表のみで可能です。

同じ会社だからといって、資産の使いまわしはNGです。これが個人情報の漏えいにつながるルートとなります。しっかりと目的外利用を禁止しして漏えいルートを遮断しましょう。