事業者が個人情報を取得・利用する際には、個人情報の保護に関する法律(個人情報保護法)に基づき、いくつかの義務を守る必要があります。具体的には、利用目的の特定、取得時の利用目的の通知・公表、適正な取得、利用目的による制限、不適正な利用の禁止などです。これらの義務は、個人情報が事業者の手元に渡る「取得」の段階から、その後の「利用」の段階まで一貫して適用されます。この記事では、それぞれの義務の内容を、条文の根拠とあわせて整理します。

本記事は、AI法令調査ツール「法令リサーチ」で実際に検索した結果(関連条文・出典リンク付き)をもとに編集した参考情報です。個人情報保護の分野は、ガイドラインやQ&Aによる解釈、適用される例外規定の判断が実務上の重要なポイントとなり、個別のケースによって取扱いが変わります。実際の対応にあたっては、必ず最新の条文や個人情報保護委員会の案内、必要に応じて専門家にご確認ください。

事業者が守るべき主な義務の全体像

個人情報保護法において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者を指し、その事業規模や業種を問わず、個人情報を取り扱う全ての事業者が対象となります。事業者が個人情報を取得・利用するにあたっては、主に次の義務を遵守する必要があります。

  • 利用目的の特定:個人情報の利用目的をできる限り具体的に定めること。
  • 取得に際しての利用目的の通知等:個人情報を取得する際に、本人に利用目的を通知または公表すること。
  • 適正な取得:不正な手段による取得を禁止し、要配慮個人情報の取得には原則として本人の同意を求めること。
  • 利用目的による制限:特定された利用目的の範囲を超えて個人情報を取り扱わないこと。
  • 不適正な利用の禁止:違法または不当な行為を助長・誘発するような方法で個人情報を利用しないこと。

利用目的の特定

個人情報取扱事業者は、個人情報を取り扱うにあたり、その利用目的を「できる限り特定」しなければなりません(個人情報保護法第17条)。これは、個人情報がどのような目的で利用されるのかを本人に明確に示し、本人がその利用に同意するかどうかを判断できるようにするためです。

利用目的を変更する場合には、変更前の利用目的と「関連性を有すると合理的に認められる範囲」を超えて行ってはなりません(同第17条)。これにより、事業者が恣意的に利用目的を拡大することを防ぎ、本人の予測可能性を保護しています。実務上は、「顧客管理のため」といった抽象的な表現ではなく、具体的な事業活動と紐づけて利用目的を定めることが求められます。

取得に際しての利用目的の通知・公表

個人情報取扱事業者は、個人情報を取得した場合、原則として、速やかにその利用目的を本人に通知するか、または公表しなければなりません(個人情報保護法第21条)。ただし、あらかじめ利用目的を公表している場合はこの限りではありません。

また、本人との間で契約を締結する際に契約書などの書面で個人情報を取得する場合や、本人から直接書面に記載された個人情報を取得する場合には、あらかじめ本人に対し、その利用目的を「明示」しなければなりません(同第21条)。本人から直接書面で取得する際には、より明確な説明責任が事業者に課されています。

これらの通知・公表義務には例外もあります。利用目的を通知・公表することにより本人や第三者の権利利益を害するおそれがある場合、事業者の権利または正当な利益を害するおそれがある場合、取得の状況からみて利用目的が明らかであると認められる場合などです(同第21条)。

適正な取得

個人情報取扱事業者は、「偽りその他不正の手段により個人情報を取得してはならない」とされています(個人情報保護法第20条)。本人を欺いたり、不正なアクセスを行ったりして個人情報を取得することが禁じられています。

要配慮個人情報の取得には原則として本人の同意が必要

要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害に関する情報などを指します。個人情報取扱事業者は、原則として、あらかじめ本人の同意を得なければ、要配慮個人情報を取得してはなりません(同第20条)。ただし、法令に基づく場合、人の生命・身体・財産の保護のために必要があり本人の同意を得ることが困難であるとき、公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合など、いくつかの例外が設けられています(同第20条)。

利用目的による制限(目的外利用の制限)

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(個人情報保護法第18条)。利用目的を特定したとしても、その範囲を超えて自由に個人情報を利用することは許されないという原則です。本人の同意がある場合や、法令に基づく場合、人の生命・身体・財産の保護のために必要があり本人の同意を得ることが困難であるときなど、いくつかの例外が認められています(同第18条)。

また、合併などにより他の事業者から事業を承継する際に個人情報を取得した場合も、承継前の利用目的の達成に必要な範囲を超えて当該個人情報を取り扱ってはならないとされています(同第18条)。

不適正な利用の禁止

個人情報取扱事業者は、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」とされています(個人情報保護法第19条)。これは、たとえ利用目的の範囲内であっても、社会通念上不適切と判断されるような方法での個人情報の利用を禁止するものです。差別的な利用や、犯罪行為に結びつくような利用などが該当すると考えられます。

ガイドラインやQ&Aの活用

個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」や各種Q&Aは、利用目的の通知・公表、適正取得、安全管理措置など、幅広い義務について具体的な解釈や実務上の対応の指針を提供しています。法律の条文だけでは判断が難しい具体的なケースにおいては、これらの行政文書が実務上の判断基準として重要になります。事業者は、こうしたガイドラインを最新の状態で確認し、自社の個人情報取扱体制に反映させることが望ましいといえます。

条文の原文や関連通達も、その場で確認できます

「法令リサーチ」なら、調べたいことを日常の言葉で入力するだけで、関連する条文と出典リンク付きのレポートを数十秒で生成。個人情報保護法の該当条文もすぐに確認できます。

個人情報の取り扱いを法令リサーチで調べる

よくある質問

利用目的はどこまで具体的に定める必要がありますか?

個人情報保護法第17条は利用目的を「できる限り特定」するよう求めています。実務上は「顧客管理のため」といった抽象的な表現にとどめず、具体的な事業活動と紐づけて定めることが求められると考えられます。

取得した個人情報の利用目的は必ず本人に伝えなければなりませんか?

原則として、取得後速やかに利用目的を本人に通知するか公表する必要があります(第21条)。ただし、あらかじめ利用目的を公表している場合や、取得の状況からみて利用目的が明らかと認められる場合など、いくつかの例外が定められています。

要配慮個人情報を取得するときに注意すべきことは?

病歴や信条などの要配慮個人情報は、原則としてあらかじめ本人の同意を得なければ取得できません(第20条)。法令に基づく場合などの例外はありますが、適用は限定的なため、慎重な判断が求められます。

出典(一次情報)

※本記事はAIによる調査支援を活用して作成した参考情報です。制度の詳細や最新の取扱いは、必ず一次情報および専門家にご確認ください。