個人情報保護法対策室
個人情報保護法対策室
トップページ
個人情報保護の重要性と個人情報保護法制定・改正の背景
個人情報保護法の解説
個人情報取扱事業者に課せられる義務の概要
・ 1. 利用目的の特定・公表
・ 2. 適正管理、利用、第三者への提供
・ 3. 本人の権利と関与
・ 4. 本人の権利への対応
・ 5. 苦情の処理
・ 6. 匿名加工情報取扱事業者等の義務
違反時の罰則とリスク
個人情報保護セキュリティ対策
リンク集
1. 利用目的の特定・公表
利用目的を具体的に特定すること。利用目的の変更は合理的に認められる範囲でのみ可能。


【 第15条 第1項 】利用目的の特定
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。
【 第15条 第2項 】利用目的の変更
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第18条 第3項 】利用目的の通知公表
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。


「利用目的をできる限り特定しなければならない」と法に記載されていますが、どうすれば「できる限り特定」したことになるのでしょうか。たとえば、以下のようなケースはできる限り特定したことにはなりません。



  ×   「当社の事業活動に用いるため個人情報を利用します」
  ×   「当社の提供するサービスの向上のため個人情報を利用します」
  ×   「当社のマーケティング活動に用いるため個人情報を利用します」


「できる限り特定」するためには、次のように具体的に利用目的を特定する必要があります。



    「△△事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用致します。」


あらかじめ個人情報を「第三者に提供」することを想定している場合には、利用目的で、その旨特定しなければなりません。

従業員の個人情報についても個人情報保護の対象です。従業員の個人情報を利用する場合であっても、利用目的を具体的に特定し説明しなければなりません。

法はいったん同意をとった利用目的を大きく変更することを禁じています。変更できる範囲は「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲まで」としています。「変更前の利用目的と関連性を有すると合理的に認められる範囲」を超えて変更したい場合は、「法第16条にしたがって、新しい利用目的による本人同意をとり直す」ことが必要です。

「変更前の利用目的と関連性を有すると合理的に認められる範囲」で利用目的を変更した場合は、法第18条第3項にしたがって、変更した利用目的を通知・公表する必要があります。



< 補足情報 >

例えば、Webサイト上で懸賞の応募受付をする場合、収集する個人情報の利用目的がサイトのどこかに掲載されているだけでは不十分です。利用目的は明確に情報主体(本人)に伝わるように通知・公表する必要があります。

利用目的を単に掲載するだけではなく、入力フォームのページ内に利用目的を記載するだけではなく、管理責任を負う者など、できるだけユーザーが必要とする情報を、必ず目にするような位置に掲載することが重要です。



補足情報

(1) 事業者の氏名又は名称
(2) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
(3) 利用目的
(4) 個人情報を第三者に提供することが予定される場合の事項
  • 第三者に提供する目的
  • 提供する個人情報の項目
  • 提供の手段又は方法
  • 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
  • 個人情報の取扱いに関する契約がある場合はその旨
(5) 個人情報の取扱いの委託を行うことが予定される場合には、その旨
(6) 開示、訂正、利用停止の求めに応じる旨及び問合せ窓口
(7) 個人情報を与えることの任意性と与えなかった場合に本人に生じる結果
(8) 容易に認識できない方法によって個人情報を取得する場合には、その旨


【 第16条 第1項 】利用目的による制限
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
【 第16条 第2項 】事業の承継
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
【第16条 第3項 】利用目的による制限の例外
前二項の規定は、次に掲げる場合については、適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。


1 個人情報取扱事業者は、法第15条第1項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければなりません。
ただし、この同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、利用目的として記載されていない場合でも、目的外利用には該当しません。



2 個人情報取扱事業者が、合併、分社化、事業譲渡等により他の個人情報取扱事業者から事業の承継をすることに伴って個人情報を取得した場合、合併、分社化、事業譲渡以前の利用目的の範囲内で取り扱う場合は目的外利用にはなりません。
なお、事業の承継後に、承継前の利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得る必要があります。



3 次の(1)〜(4)に掲げる場合については、前二項において、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合であっても、本人同意は不要です。

(1) 次の事例のように、法令に基づく場合は、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
事例2) 裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)
事例3) 税務署の所得税等に関する調査に対応する場合(国税通則法第74条他)
(2) 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2) 大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
事例3) 事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
(3) 公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合
事例2) 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合
事例3) 児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合
(4) 国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合
事例2) 事業者が警察の任意の求めに応じて個人情報を提出する場合
事例3) 一般統計調査や地方公共団体が行う統計調査に回答する場合


< 補足情報 >

利用目的の変更は、小規模な変更と大規模な変更の、二種類の変更が考えられ、それぞれ規定が異なります。

  • 変更前の利用目的と関連性を有すると合理的に認められる範囲の小規模な変更
    • →法第15条第2項、法第18条第3項によって変更します。
  • 変更前の利用目的と関連性を有すると合理的に認められる範囲を超える変更
    • →法第16条第1項による目的外利用にあたり、本人の同意が必要です。


【 第17条 第1項 】適正取得
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
【 第17条 第2項 】要配慮個人情報の取得
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(6) その他前各号に掲げる場合に準ずるものとして政令で定める場合


1 個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはなりません。

  【個人情報取扱事業者が不正の手段により個人情報を取得している事例】
 
事例1) 十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合
事例2) 法第23条第1項に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合
事例3) 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合
事例4) 他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合
事例5) 法第23条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
事例6) 不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合


< 補足情報 >
  • 上述の1)〜6)の事例は全て不正の手段(法令違反)による個人情報の取得です。
  • 個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するだけで、転記等を行わない場合は、個人情報を取得していることにはなりません。
  • 個人情報取扱事業者やその従業者又は過去において個人情報取扱事業者やその従業者であった者が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供したり盗用したりしたときは、個人情報保護法により刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得ます。


2 要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければなりません。ただし、次の(1)から(7)までに掲げる場合については、本人の同意を得る必要はありません。

(1) 法令に基づく場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。
 
事例) 個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合
(2) 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。
 
事例1) 急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合
事例2) 事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち犯罪歴等の情報について共有する場合
事例3) 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合
(3) 公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。
 
事例1) 健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合
事例2) 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合
事例3) 児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合
(4) 国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。
 
事例) 事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合
(5) 要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく当該公開されている要配慮個人情報を取得することができます。
 
  1. 本人
  2. 国の機関
  3. 地方公共団体
  4. 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む。)
  5. 著述を業として行う者
  6. 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
  7. 宗教団体
  8. 政治団体
  9. 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
  10. 外国において法第76条第1項各号に掲げる者に相当する者
(6) 本人の意思にかかわらず、本人の外形上の特徴により、要配慮個人情報に含まれる事項(例:身体障害等)が明らかであるときは、あらかじめ本人の同意を得ることなく、当該要配慮個人情報を取得することができます。
 
事例) 身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)
(7) 要配慮個人情報を、法第23条第5項各号に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はありません。
 
補足) 委託元、合併相手、共同利用の代表組織が既に同意を得ているので、改めての同意は必要ありません。


【法第17条第2項に違反している事例】

本人の同意を得ることなく、インターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録することは要配慮個人情報の取得規定違反行為です。



< 補足情報 >
  • 要配慮個人情報の第三者提供には、原則として本人の同意が必要であり、オプトアウトによる第三者提供は認められていません。
  • 「本人の同意」については、個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解されます。 また、個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該個人情報取扱事業者が、改めて本人から法第17条第2項に基づく同意を得る必要はないものと解されます。


【 第18条 第1項 】利用目的の通知又は公表
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
【 第18条 第2項 】直接書面等による取得
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
【 第18条 第3項 】(既に第15条 第2項に関連して記述済み)
【 第18条 第4項 】利用目的の通知等をしなくてよい場合
前三項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合(利用目的自明)


1 個人情報取扱事業者は、法第15条第1項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければなりません。
ただし、この同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、利用目的として記載されていない場合でも、目的外利用には該当しません。



2 個人情報取扱事業者が、合併、分社化、事業譲渡等により他の個人情報取扱事業者から事業の承継をすることに伴って個人情報を取得した場合、合併、分社化、事業譲渡以前の利用目的の範囲内で取り扱う場合は目的外利用にはなりません。
なお、事業の承継後に、承継前の利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得る必要があります。



3 次の(1)〜(4)に掲げる場合については、前二項において、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合であっても、本人同意は不要です。

(1) 次の事例のように、法令に基づく場合は、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
事例2) 裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)
事例3) 税務署の所得税等に関する調査に対応する場合(国税通則法第74条他)
(2) 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2) 大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
事例3) 事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
(3) 公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合
事例2) 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合
事例3) 児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合
(4) 国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができます。
 
事例1) 事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合
事例2) 事業者が警察の任意の求めに応じて個人情報を提出する場合
事例3) 一般統計調査や地方公共団体が行う統計調査に回答する場合


< 補足情報 >

利用目的の変更は、小規模な変更と大規模な変更の、二種類の変更が考えられ、それぞれ規定が異なります。

  • 変更前の利用目的と関連性を有すると合理的に認められる範囲の小規模な変更
    • →法第15条第2項、法第18条第3項によって変更します。
  • 変更前の利用目的と関連性を有すると合理的に認められる範囲を超える変更
    • →法第16条第1項による目的外利用にあたり、本人の同意が必要です。


▲ ページTOP


< 前へ 次へ >

このサイトについて   |   サイトマップ   |   個人情報保護について
Copryright (c) 2004-2017, NEC Nexsolutions, Ltd.