プライバシーマークにおけるJ.8.6「利用に関する措置」とは

利用に関する措置の位置づけ

J.8.6「利用に関する措置」は、組織が取得した個人情報を あらかじめ特定した利用目的の範囲内 で適切に取り扱うための要求事項です。
つまり「利用目的を超えた利用」を防止し、個人情報を提供した本人の期待に沿った利用を徹底することが目的です。

要求される基本ルール

1. 利用目的の範囲内での利用
   取得時に本人に明示した目的、または公表した目的に沿って利用する。
2. 目的外利用の禁止
   利用目的の範囲を超える利用は行わない。どうしても必要な場合は、本人の同意を得ることが必須。
3. 利用状況の点検
   実際の運用において、利用目的を逸脱していないかをチェックする仕組みを設ける。

利用に関する措置の具体例

• 顧客情報を「商品の発送」のために取得した場合、マーケティングメール配信に利用する際は本人の同意を追加で取得する。
• 社員情報を「労務管理」のために利用する場合、無断で人事評価以外の目的に使用しない。
• 顧客データベースを部門間で共有する際、利用目的を再確認し、不要なアクセス権を制限する。

利用に関する措置と関連するプロセス

• J.8.2 取得に関する原則（利用目的の特定）
• J.8.3 取得に関する措置（本人への通知・公表）
• J.8.7 提供に関する措置（第三者提供時の管理）

これらと連動することで、「取得 → 利用 → 提供 → 廃棄」の各段階において整合性のある管理が行えるようになります。

実務上のポイント

• 個人情報台帳や利用目的一覧を作成し、部門ごとの利用状況を管理する
• 内部監査で「利用目的と実際の利用の整合性」を確認する
• 新しいサービスや施策を開始する際には、必ず利用目的を再確認・追加設定する

まとめ

J.8.6「利用に関する措置」は、個人情報保護における 「目的外利用の防止」 を徹底するための規定です。
取得時に明示した利用目的を超えて情報を使わないことは、法令遵守だけでなく、顧客や従業員からの信頼を守るためにも極めて重要です。

株式会社isoサポート

XFacebook

プライバシーマーク・ISO認証取得と、取得後支援コンサルティングのISOサポートです。身の丈に合った仕組みづくりをモットーに、面倒な書類作成も含めて親身なサポートで好評。プライバシーマーク、ISO9001、ISO14001、ISO27001、ISO45001、ISO22000、JAPHICに関することなら何でもお気軽にご相談ください。