利用目的の特定と制限
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならないこと、また、利用目的を変更する場合においては、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて取り扱ってはならないことが定められています。
- 【第15条】
- 個人情報取扱事業者は個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。
- 【第15条第2項】
- 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
- 【第16条】
- 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
利用目的は「できる限り」特定しなければならない
「できる限り」とはどこまでなのでしょうか?文部科学省ガイドラインでは、「本人が自己の個人情報の利用範囲を予想できるように、具体的、個別的に特定すること」としています。また、生徒の個人情報を特定するのはもちろんのこと、教職員の個人情報についても個人情報保護の対象です。教職員の個人情報を利用する場合も、利用目的を具体的に特定し説明をする必要があります。
- 利用目的を具体的に特定している事例 -
- 学生による授業評価アンケート等の実施にあたって「このアンケートは、来年度における○○授業の教育方法を検討する際の参考とするために行ないます。」として取得する。
- 卒業生の氏名及び就職先の情報を「卒業生の就職状況を統計としてまとめ、パンフレット等に掲載するため。またこれらの情報は○○○(同窓会の組織名)にも提供します。」として取得する。
- 利用目的が具体的に特定されていない事例 -
- 学生による授業評価アンケート等の実施にあたって「このアンケートは、本学の教育の改善に役立てるために実施する。」として取得する。(使途を明確に特定していない例)
- 卒業生の氏名及び就職先の情報を、学校外の第三者(同窓会等)に渡す予定の場合に、利用目的を「卒業生の就職状況を統計としてまとめ、パンフレット等に記載するため」として取得する。(あらかじめ予定されている提供先を明確に特定していない例)
利用目的の変更をする場合
法律は利用目的を大きく変更することを禁じています。変更ができる場合は「変更前の目的と相当の関連性を有する合理的に認められる範囲まで」と限定しています。これを超える場合は、「新しい利用目的」となり、その都度本人の同意を得る必要があります。
これは大変なので、利用目的を特定する段階で、想定される利用目的をしっかり考えることが必要です。
- 利用目的の変更が認められる事例 -
- 変更前「入学手続のため」
- 変更後「氏名からクラス名簿を作成し、クラスに配布する」という利用目的を追加すること
- 変更前「○○の資格試験に関する講座の受講者を登録するため」
- 変更後「いただいた名前と住所に、当該資格試験の情報を送付することがあります。」という利用目的を追加すること
同意を求める「本人」が児童の生徒の場合はどうする?
利用目的を変更する場合は、本人の同意が必要になりますが、「本人」が児童などの場合はどうすれば良いのでしょうか?この場合は「本人」の同意だけでは足りないと考えられています。よって法定代理人(保護者等)に同意してもらうことが必要となります。
なお、本人(生徒等)が成年になった際に改めて本人の同意を取る必要はありません。