個人情報保護法入門 ９

４．「個人情報」のライフサイクル
　　――取得・利用・消去

　個人情報の一生は取得によってはじまり、利用し、そして消去することでおわります。個人情報を持つがゆえに行政規制の対象となるわけですから、それを捨て去ることで法的リスクはゼロになります。取得、利用、消去、この３つの局面ごとに具体的にどのような義務に直面するかを洗いだして、個々の業務ごとに、時系列的にどのような対応策を実施していくかを確認していくことが重要でしょう。
　まずは、義務の全体をざっとながめてみたいと思います。

（１）利用目的の特定
　まず取得のところですが、この法律の大きな特徴のひとつは、「利用目的概念」を導入したというところであります。第１５条第１項に利用目的を「できる限り特定せよ」とありますが、これは、どう取り扱うかをきちんと定めておきなさい、という義務です。
　「できる限り」とはどのくらいかというと、経済産業省ガイドラインによると、たとえば日本産業分類の中分類や小分類を参考にしながら業種を示し、かつ商業登記における定款の目的程度を表現する程度でもよいとしています。このあたりの行政のさじ加減は、各主務大臣のガイドラインや今後公表される個人情報保護指針などを参考にしていくとよいでしょう。

（２）利用目的の明示・公表等
　個人情報を本人から直接書面で取得する場合、たとえば、書面を介して、サービスや商品のお申し込みを頂く場合、記名式のアンケート調査に回答いただく場合、懸賞などに応募いただく場合などが典型です。この書面というものにはウェブ画面も入ります。
　こうした場合には、必ず都度利用目的を明示しなければなりません。
　それ以外の場合、すなわち、直接書面取得以外で個人情報を取得する場合は、通知または公表することになります。公表とは何かというと、経済産業省ガイドラインには、各社のホームページ、そのトップページからわかりやすく１クリックか２クリックで誘導されるところに掲載されていればよいと言っています。ある意味非常に対応しやすい義務であると思います。
　実際のビジネスの現場では、多様で、かつ非常に多くの顧客接点があろうかと思いますが、そこで個人情報を取得しているのであればそれを全て洗い出し利用目的を明示したりする必要があるということです。