こんにちは。

東京って人が多いですね。朝の通勤ラッシュは特にです。

人の多さに圧倒されながら、日々お仕事をしております。

今回は、プライバシーマーク取得のためには欠かせない、「個人情報の利用目的」についてです。

利用目的を特定しなければならない理由

プライバシーマークの規格であるJISQ15001:2006の要求事項には、下記の項番があります。

要求事項3.4.2.1　利用目的の特定

「事業者は、個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならない」

「？？？」が浮かんでいるかもしれません。

詳しく解説すると、「個人情報を誰かからもらうとき、ちゃんと目的を決めましょう。あらかじめ決めた利用目的以外では、個人情報を利用してはいけないですよ」ということを意味しています。

おそらくまだイメージが涌きにくいかもしれませんので、いくつか事例を挙げてお伝えします。

事例

(1)顧客の個人情報

顧客と取引をする際は、何らかの個人情報が発生しているかと思います。契約書に名前を署名してもらう、商談記録を作成する、営業情報を作成する、納品書を作成する際に顧客の個人情報を記載するなどなど…。挙げ出すとキリがありません。顧客との取引の際には必ずと言っていいほど個人情報が発生しています。

では、顧客の個人情報の利用目的が何なのかを考えましょう。

例えば、顧客情報を「提供するサービスの向上ため」という利用目的で、保有している場合。さて、この利用目的で個人情報を取得した際、取引先は、利用目的がどことなくふわっとしているように感じると思います。万が一こちらを利用目的とするならば、利用目的が曖昧で、適切に特定されていないとプライバシーマーク審査員に判断されてしまいます。

ですので、例えば顧客情報は「○○事業における顧客管理のために利用する」といったことが、利用目的の特定となります。

こうすることによって、取引先も「○○事業のために個人情報が利用されるのか」ということが判断できるかと思います。

(2)採用応募者の個人情報

会社には従業員がいて、毎年、会社は採用活動を実施して、従業員を採用しています。

新卒採用、中途採用、非正規雇用などいろいろありますが、採用応募者からは必ずと言っていいほど履歴書や職歴書を取得します。

履歴書や職歴書を採用応募者からもらうとき、例えば、利用目的を「今後の採用活動に活用するため」とした場合。この場合、採用応募者は「私の個人情報がどんなことに利用されるのか」ということが分かりにくいと思います。

ですので、採用応募者の個人情報は、「採用選考のために利用する」とすると、採用応募者は「私の個人情報は採用選考のために利用される」ということが明確に分かり、安心するかと思います。

(3)従業員の個人情報

会社は従業員を雇用する際、あらゆる個人情報を取得しています。最近では、マイナンバーも取得していますよね。

では、従業員から取得する個人情報の利用目的を「事業活動のため」と決定したとしましょう。おそらく、この利用目的では、従業員は、「私の個人情報って何のために利用されるのだろう」と、不安に感じるでしょう。

ですので、「従業員情報は雇用管理のために利用する」として、個人情報を取得する際従業員に伝えていれば、従業員は「私の個人情報は雇用管理のために利用されるのか」と安心するかと思います。

上記の事例が、「個人情報の利用目的を特定している」ということになります。

利用目的を多くし過ぎると、最終的にどの目的で個人情報を利用しているのかが分からない状態に陥ってしまうこともあります。

ですので、個人情報の利用目的は、最小限に絞って、取得するようにしましょう。

それでは。