個人情報を取り扱う事業者がまず行わなければならないのは、その利用目的をできるかぎり明らかにすることです。今号の記事では個人情報の利用目的について説明します。

事業者は個人情報を取り扱うにあたって、その利用目的をできるかぎり明らかにしなければならず、本人にそれを通知するなどしなければなりません。利用目的を明らかにしなかったり、決めた利用目的の範囲を超えて利用したり、あるいは本人に対して利用目的の通知等を怠ったりすることはルールに反します。これが個人情報保護の基本的な考えです。個人情報保護の基本概念が「自己の情報をコントロールできる権利」と深く関連していることが分かります。

「できるかぎり明らかに」とはどの程度明らかにしたらよいのか。その程度を考えてみましょう。個人情報保護法に関する経済産業省ガイドラインによれば、本人から見て自分の個人情報の利用範囲が合理的に予想できることが一つの基準となります。具体的には「事業活動」や「所用の目的」「サービスの向上」「マーケティング活動」などでは不十分であり、事業名でいうと日本標準産業分類の中分類から小分類程度の分類が参考になるとされています。 なお雇用管理に関する個人情報については、自分の個人情報が利用された結果を労働者等本人が合理的に想定できる程度に具体的個別的に特定することが必要とされます。

本人への通知等は次のように行う必要があります。まず、個人情報を本人から直接書面などで取得する場合です（これを「直接書面取得」といいます）。この場合は事前に利用目的を明示しなければなりません。「明示」とは一般的には書面を交付することが多いでしょう。直接書面取得以外の方法で個人情報を取得する場合は、事前に利用目的を公表するか、あるいは事後に本人に通知または公表するかのいずれかを行う必要があります。「公表」は最近はウェブでの掲載が考えられますが社内掲示などで足りることもあります。

（行政書士　関戸幸一）