取得した個人情報の利用に関する措置

 取得した個人情報を利用する上で遵守すべき事項、及び当初の利用目的の達成に必要な範囲を超えた利用を行う場合の遵守事項を規定した要求事項が、「3.4.2.6 利用に関する措置」です。

個人情報を利用するには

 取得した個人情報を利用する際の要求事項を規定した「3.4.2.6 利用に関する措置」は、以下の要件を要求しています。

  • 個人情報を利用する場合は、利用目的の達成に必要な範囲内で行うこと
  • 上記の目的の達成に必要な範囲を超えた利用を行う場合は、予め前述した3.4.2.4のa)~f)と同等以上の内容を通知し同意を得ること

また、個人情報保護法の第16条 3項と同等の以下の内容を、利用目的の変更に関する再通知及び再同意を割愛できるケースとして規定しています。

  • 法令に基づく場合
  • 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  • 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  • 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
個人情報の利用に関する注意事項

 個人情報を利用する場合は、以下のようなことに注意し、利用することをJIS Q 12001:2006の解説では推奨しています。

  • 本人が想定できる範囲であったとしても、同意を得ている範囲を超えた利用目的の変更は、目的外利用にあたるので注意が必要
  • 同意を得て取得した部門以外の部門が個人情報を利用する場合は、目的の範囲内であるケースと範囲外であるケースが考えられるので注意が必要(後者の場合は、別途同意が必要)

したがって、当該利用範囲が同意の範囲なのかを確実に確認できる手順が、個人情報を利用する際には必要になります。すなわち、取り扱う個人情報に関する利用目的の社内への周知徹底が必要不可欠になるといってよいでしょう。

個人情報保護法との関連

個人情報保護法「第16条 利用目的による制限」及び「第18条 取得に際しての利欲目的の通知等」は、「3.4.2.6 利用に関する措置」に相当します。要求されている内容もほぼ同じです。

ただし、個人情報保護法では利用目的の達成に必要な範囲を超えた利用も行う場合の措置が、利用目的の通知は又は公表になりますが、規格では前述した3.4.2.4のa)~f)と同等以上の内容を通知し同意を得ることを要求しています。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする