利用目的の特定は十分ですか？

前回は、「個人情報」とは何かということをお話しました。
今回は、その「個人情報」を取得するにあたって、気を付けるべきことはあるかを、考えてみたいと思います。

個人情報取得に関する1つめの条文は、以下のとおりシンプルです。

第十七条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

これだけです。ただ、「違法の手段により」とは書いていないので、たとえ、個人情報保護法以外の法律には触れないとしても、「偽り」「不正」の方法で個人情報を取得してはいけないという意味になります。
たとえば、「十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合」は、「偽りその他不正の手段」とされます（個人情報保護法ガイドライン（通則編）３－３－１）。

しかし、個人情報取得に関する規定が、これだけではないということは、皆様もお気づきかと思います。そうです。利用目的の話ですね。

第十五条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

第十八条　
２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

よく目にするのは、この１５条１項に基づく利用目的の特定と、１８条２項に基づく利用目的の明示だと思います。実際私も、良く目にします。
例えば、「記載いただいた個人情報については、○○の目的で使用します。」等の記載です。

さて、１５条１項では、「できる限り特定しなければならない」とあります。
そのため、「事業活動に用いるため」「マーケティング活動に用いるため」では、特定されていないことになります（個人情報保護法ガイドライン（通則編）３－１－１）。

「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」という程度に特定しなければならないのです。

事業を営んでいる皆様、いかがでしょうか。御社は、個人情報取得の際、利用目的を「できる限り特定」していらっしゃいますか？
一度、御社のひな形を確認してみることをお勧めします。

私が見る限り、意外と、「事業活動に用いるため」「マーケティング活動に用いるため」タイプの利用目的特定・明示が多いような気がするのです。