★個人情報の取得と利用の制限

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

　個人情報の取得

まず何の目的で個人情報を取得するのかを定義しておく必要があります。

利用目的の特定

個人情報保護法とJISQ15001では、個人情報を取得する際には利用目的ができる限り特定されていることが前提となります。

この「できる限り特定」とは義務ではなく努力目標ではありますが、個人情報の取得時に利用目的を明示することが義務づけられていますので、 個人情報を提供する（本人）に誤解を与えないよう具体的な内容の利用目的を明示する必要があります。

「弊社のサービスの向上に利用させていただきます」など曖昧な表現ではなく、具体的な提供サービス名、案内広告を出すならその旨を明記しておく必要があります。

利用目的の明示

個人情報保護法では、利用目的の通知または公表が義務づけられています。
しかし利用目的などが本人に認識される「合理的かつ適切な方法」と規定されているだけ具体的な明示方法には触れていません。

JISQ15001ではもっと具体的に「書面により明示」する必要があります。
利用目的を明記したパンフレットや契約書、Web画面であれば個人情報の取扱についてのページを設ける必要があります。

個人情報取得時の同意

個人情報保護法では通知または公表された利用目的に対して、本人からの同意を得る義務はありません。

JISQ15001では書面により明示された利用目的に同意してもらって、初めて個人情報を取得することができます。

書面であれば「同意する欄」にチェックを入れてもらったり、Webであれば「同意する」チェックボタンや同意しないと送信ボタンを 押せない仕組みを作って、本人が同意してくれたことのエビデンスを残す必要があります。

またJISQ15001では特定の機微な個人情報（思想、信条、宗教、人種、本籍等）の取得を制限しています。本人の同意のある場合のみ取得、利用が出来ます。

適正な取得

個人情報は適法で公正な手段で取得する必要があります。 本人が認識できない方法で個人情報を取得する場合は、（例　個人の識別にブラウザのクッキーやウェブビーコン） その技術を使用していることを明示しておく必要があります。

　個人情報の利用

取得した個人情報は自由に利用できるわけではありません。

利用目的の制限

個人情報は本人に事前に同意してもらった、利用目的の範囲内でのみ取扱ことができます。

利用目的の変更

個人情報保護法では明示した個人情報の利用目的に変更に関しては 本人が想定できる範囲の利用目的の変更であれば、本人に通知か公表することで個人情報を利用できます。

本人が想定できる範囲を超えた利用目的の変更には、利用する前に本人の同意が必要になります。

JISQ15001では利用目的の変更には、利用する前に本人の同意が必ず必要になります。

個人情報保護法のように玉虫色の解釈はできません。
JISQ15001では取得時も利用目的の変更時にも必ず本人の同意が必要となります。


プライバシーマークの取得過程をを具体的に知りたい 取得要件を満たす事業者とは