*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています(2022年5月16日追記)。
はじめに
個人情報保護法は、事業者に対し、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならないと定めています(個人情報の保護に関する法律(以下、「法」といいます。)17条1項)。そして、特定した利用目的は通知・公表しなければなりません(法21条1項)。インターネットを通じてサービスを提供する事業者は、通常、「プライバシーポリシー」や「個人情報保護方針」など(以下「PP」といいます。)によって個人情報の利用目的を特定し、公表しています。
事業者は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができませんが(法18条1項)、事業の進展によって、PPで特定していたもの以外の目的に個人情報を利用する必要が生じてくることは少なくありません。このような場合に、事業者としては、どのような手続きを経て、個人情報を利用するべきでしょうか。
「関連性」を有する場合の利用目的の変更
この点について、法は「変更前の利用目的と関連性を有すると合理的に認められる範囲」では利用目的を変更することを許容しています(法17条2項)。よって、この範囲内であれば、利用目的を変更し、変更後の目的に沿って個人情報を利用することができます。
では、どのような場合に、「変更前の利用目的と関連性を有すると合理的に認められる」のでしょうか。この関連性の判断について、ガイドライン(個人情報の保護に関する法律についてのガイドライン(通則編)3-1-2)は次のように説明しています。
「特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することは可能である。」
そして、「本人が通常予期し得る限度と客観的に認められる範囲」については、次のように説明しています。
「一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される」
認められる事例、認められない事例
ガイドラインQ&A(*)では、認められる事例を次のように挙げています。
*「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
<利用目的の変更が認められる事例>(Q&A・2-8)
1)「当社が提供する新商品・サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品・サービスに関する情報のお知らせ」を追加する場合
2)「当社が提供する既存の商品・サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する場合もこれに含まれ得ると考えられます。)
3)「当社が取り扱う既存の商品・サービスの提供」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、防犯目的で警備員が駆け付けるサービスの提供のため個人情報を保有していた事業者が、新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する場合もこれに含まれ得ると考えられます。)
4)「当社が取り扱う商品・サービスの提供」という利用目的について、「当社の提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する場合もこれに含まれ得ると考えられます。)
認められる事例の特徴
1)と2)は、「商品・サービスに関する情報のお知らせ」という目的が同一である場合に、対象となる商品・サービスについて、新規・既存の商品・サービスを追加することは、いずれも認められるとのものです。
3)は、「商品・サービスの提供」から「新商品・新サービスに関する情報のお知らせ」への変更を許容するものです。1)や2)と異なり、基礎となる目的が異なるため軽微な変更とはいえませんが、Q&Aでは、「関連」商品・サービスに関する情報と限定し、バランスをとっています。
4)は、3)の「関連」商品・サービスを、更に提携先の商品・サービスまで拡大したもので、これも認められています。なお、3)4)いずれも、「関連」商品・サービスに限定していますので、既存の商品・サービスと全く無関係の新商品・新サービスの情報のお知らせは、必ずしも認められるものではありません。
利用目的の変更が認められない事例とその特徴
<利用目的の変更が認められない事例>(Q&A・2-9)
5)当初の利用目的に「第三者提供」が含まれていない場合において、新たに、法第 23条第2項の規定による個人データの第三者提供を行う場合
6)当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を行う場合
5)は、当初目的に第三者提供が含まれていないのに、新たにこれを含める変更は認めないとのものであり、第三者提供の本人に与える影響の大きさからすると当然といえます。
6)は、基礎となる目的が異なる変更をする場合という意味では、3)や4)に近いものですが、当初目的が盗難・不正利用時などの緊急時のための例外的なものであることや、変更後の目的が「関連」商品・サービスではないことなどから、利用目的の変更が認められない事例と考えられます。
Q&Aのまとめ
関連性については、平成29年5月30日施行の改正で、従前「相当の関連性」と規定されていたものが「関連性」に修正されており、条件が緩和されたものと解されます。
Q&Aの結果からすると、1)2)のように、情報提供という基礎となる目的は同一で、対象となる商品・サービスを変えるのみの場合には、概ね変更は認められやすいといえます。
また、基礎となる目的が異なる場合でも、3)4)のように、商品・サービスの提供に個人情報が利用される場合に、それに関連する商品・サービスの情報提供という目的を加えることも認められやすいといえます。
他方で、個人情報の第三者提供などの本人意思の確認の必要性が高い目的を追加する場合や、当初例外的場合にのみ利用が認められていたものを情報提供(営業)に用いることは認められにくいといえます。
同意に基づく利用
前述のとおり、事業者は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができませんが、当初の利用目的の範囲を超える用途であっても、あらかじめ本人が同意すれば取り扱うことは可能です(法18条1項)。よって、利用目的の変更が認められない場合には、あらためて新目的について本人の同意を得ることとなります。
しかし、同意を求めたい時期に全てのユーザーがアクティブであるとは限らず、同意取得は容易ではありません。
よって、事業者としては、個人情報を利用すべき新たな目的が生じた場合には、まずは、利用規約の変更による処理が可能な範囲か否かを検討することとなります。
変更の通知又は公表
なお、PPを変更した場合には、変更後のPPを本人に通知し、又は公表しなければなりません(法21条3項)。
但し、この通知又は変更により、当該事業者の権利又は正当な利益を害するおそれがある場合など、一定の場合には、この通知又は公表は必要ありません(同条4項)。取得の状況からみて利用目的が明らかであると認められる場合にも、通知又は公表は必要ありません(同条4項4号)。
おわりに
以上のとおり、新たな個人情報の用途が生じた場合、これが当初の利用目的と「関連性」の範囲内か否かで、取り扱いは大きく変わってきます。もっとも、「関連性」の範囲内か否かは、法律的に難しい判断となる場合もありますので、迷った場合には、専門家へ意見を求めることが望ましいといえます。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。
お問い合わせフォームはこちら