個人情報保護法
個人情報の定義
1.利用目的の特定
第15条
- 1 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
- 2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第15条第2項
「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、変更前の利用目的との関係で、変更後の利用目的の内容を予測することが困難でない程度の関連性があることを指す、とされています。
また、個人情報取扱事業者が主観的に合理的であると考えているだけでは、「合理的に認められる範囲」とは言えません。「合理的に認められる範囲」というためには、「関連性を有する」ことが、社会通念上、客観的に合理的と認められる必要があります。
例えば、「商品カタログを郵送する」という利用目的を「商品カタログをメールで送付する」という利用目的に変更するのであれば、社会通念上、このような変更は予測困難ではないと客観的合理的に認められるため、このような変更は許容されると解されます。
2.利用目的による制限
第16条
1 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
- ① 法令に基づく場合
- ② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- ③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第16条第1項
「本人の同意」を得る方法は、原則として書面でも口頭でも構わないとされています。また、同意を得るために個人情報を利用すること自体は、それが利用目的の範囲内か否かにかかわらず、可能です。