Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2.6 「利用に関する措置」 | ScanNetSecurity
2026.07.11(土)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2.6 「利用に関する措置」

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集 特集
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column24.html

皆さんこんにちは。今回のテーマは3.4.2.6「利用に関する措置」です。この要求事項は、個人情報を利用するときに言及している要求事項です。いつものように、読み解いていきましょう。

さて、まずは「特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない」とあります。個人情報を取得するにあたっては、3.4.2.4や3.4.2.5の要求事項にしたがって取得する目的を伝えていると思います。
また、個人情報の台帳に利用目的欄を設けて、個々のデータごとに利用目的を定めているところもあるでしょう。ここで言われているのは、これら、あらかじめ定めた目的の範囲内で個人情報を使いましょう(=目的外利用の禁止)ということです。

では、当初定めた目的を超えて個人情報を使う必要性が出てきた場合、どのようにすればよいでしょうか。例えば、当初は分析にしか想定していなかったアンケート集計結果を、DM発送のためにも使うことになった場合などです。
3.4.2.6の要求事項によると、目的外利用を行う際は、3.4.2.4の a)〜 f)の事項を本人に通知し、同意を得なければならないと書いてあります。
新しい利用目的が出てきた場合、勝手に使ってはならないんですね。新しい目的で使う前に、本人に対して改めて通知同意を行わなければなりません。自社規程を作る場合は、本人に対してどのように再通知再同意を行うかの手順を作る必要があります。

この際、要求事項には書かれていませんが、利用目的を変更する際の社内承認手順が必要ですので規程を作る際は注意しましょう。
要は、目的外利用を現場で判断させずに、しかるべき人物の承認を経ることが求められていることになります。目的外利用を行おうとする際は、誰が、どのような様式を使って、誰に承認を取るか、きちんと規定化しておきましょう。

続いて、規格を読んでみると、目的外利用を行う際に通知同意が不要となる但し書きが4つ定められています。それぞれの具体例は…


【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column24.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  3. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  4. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  5. バックアップで復旧・運営に支障無し・データ流出確認されず・金銭支払も無し ~ 武蔵野大学がランサムウェア感染

    バックアップで復旧・運営に支障無し・データ流出確認されず・金銭支払も無し ~ 武蔵野大学がランサムウェア感染

ランキングをもっと見る
PageTop