個人情報保護法改正、変更点やデータ取扱いの注意点とは？：セキュリティ強化塾（5/6 ページ）

[キーマンズネット]

利用目的は後で変更してよい？

　個人情報を取得した後、その情報を取得時の利用目的とは違う目的に使えるか否かも大事なポイントだ。現行法では変更は基本的に本人の同意を得なければできないことになっている。

　骨子案では「利用目的変更があり得ることを通知または公表し、変更時にオプトアウトできるように通知や公表を行えば、事前に同意がなくても利用目的が変更できる」ようにしようとしたが、消費者団体等からの批判があり、法案では削除される見通しだ（図4）。

図4 「骨子案」の利用目的の制限緩和（出典：内閣官房IT総合戦略室）

海外制度との整合性は？

　海外制度との整合性に関しては、EUの「データ保護指令」の他、米国の消費者プライバシー権利章典、経済協力開発機構（OECD）のプライバシーガイドラインなどとの整合を考えなければならない。

　特に厳しいのがEUの制度で、日本の現行制度は「保護が十分でない」とされ、現在は特例的な方法でデータ移転をしているのだが、そのコストと時間を節約できるよう「保護が十分」（十分性）であると認定されるようにすることが個人情報改正の目標の1つになっている。

　上述の利用目的の規制緩和は、EUの制度の「目的制限の原則」、あるいはOECDプライバシーガイドラインの「目的明確化の原則」や「利用制限の原則」に適合しないのではないかと異論も出ていた。

　いったん取得された個人情報を削除させる権利（忘れられる権利）についても気になる。個人からの請求によりデータを削除することは、現行法では事業者側の義務とされているが、骨子案では個人の権利（開示等請求権）として位置付けられた。

　実際にはマイナーチェンジにすぎないのだが、個人の権利が明文化することで、上述のEUの「十分性」認定に適合するようにしたという色合いが強い。