Pマークの支援をしている中で、
最近指摘されるケースも増えてきていて、
注意する必要があるなと思っていることを共有します。
それは、
「個人情報を取り扱う場合は、
利用目的をできる限り特定する」ということ。
ええっ?そんなの当然わかっとるがね!
当たり前すぎて特にビックリもせんがね!!
(注:決して名古屋弁をバカにしているわけではありません。
名古屋LOVEです。)
この「利用目的の特定」というのは、
Pマークというよりは、個人情報保護法で決められていることなので、
特定していなければ法律違反になります。
さらに、その利用目的は、本人に通知し、又は公表しなければならない!とされているので、
さまざまなウェブサイトや申込書などには、利用目的が書かれています。
これについては、もう「常識」ですよね。
なので、個人情報の利用目的を通知公表せずに取得することは、
現在ではほとんどないとは思いますが、
その利用目的の記載内容が「ざっくりすぎる!!」と指摘されることが増えています。
どのくらい具体的にすべきかというと、
”個人情報の本人が、自分の個人情報が
どのように取り扱われるか予測することができる程度”です。
ダメな例としては、
「事業活動に用いるため」
「顧客サービスの向上のため」など。
抽象的・一般的すぎてNG!とガイドラインにも規定されています。
既存の個人情報保護法でも規定されている内容ですが、
改正法(2022年4月施行)では、その部分がより厳しくなっています。
今のところ特に指摘されていない事業者さんも、
ぜひ一度、自社の利用目的の記載が具体的でわかりやすいかどうか?
見直してみてください。
会社としては、広めに書いておきたい気持ちもわかりますが、
消費者としてはどうでしょう?
自分が個人情報を渡す(入力する、記載する)方だったら?
そんな視点で見直してみるとよいと思います。
個人情報保護法の改正については、
ガイドラインもこれから出てくると思いますので、
春まで目を離せませんね。
※個人情報保護法の改正について、現在一番わかりやすくて正しい情報は、
JIPDECのこの講演資料だと思いますので、
まだ見られていない方は目を通してみてください。
https://www.jipdec.or.jp/library/report/20210729-1.html
個人情報の利用目的は具体的に特定する必要あり!
タグ:個人情報保護