個人情報の利用目的に関する義務 〜障害福祉サービス事業者が遵守する個人情報保護に関する義務〜
障害福祉サービス事業者が負う個人情報保護法における義務は以下の6つです。
・利用目的に関する義務
・取得に関する義務
・管理に関する義務
・第三者提供に関する義務
・保有個人データの取扱いに関する義務
・苦情処理に関する義務
今回は利用目的に関する義務について説明致します。
障害福祉サービス事業者が負う個人情報の利用目的に関する義務
利用目的に関する義務として障害福祉サービス事業者は以下の3つの義務を負います。
・利用目的の特定
・利用目的の変更
・利用目的による制限
利用目的の特定
障害福祉サービス事業者は、個人情報を取り扱うにあたり、利用する目的をできる限り特定しなければなりません。利用目的を特定するにあたり、障害福祉サービス事業者が個人情報を最終的にどのように利用目的に沿って扱うかを利用者又は利用者の家族が理解できるレベルまで具体的であることが望まれます。
合わせて押さえる
障害福祉サービスの利用者とその家族以外にも施設職員、ボランティア(以下、利用者等とします。)の情報も個人情報に当たります。
ワンポイントアドバイス
プライバシーポリシー等を策定する際には、利用者等の権利利益の保護の観点から、事業活動の特性、規模及び実態を考慮し、「事業者がその事業内容を勘案して利用者ごとに利用目的を限定することに自主的に取り組む等、利用目的がより明確になるようにする」といった文言を盛り込むことが望まれます。
利用目的の変更
障害福祉サービス事業者は、特定した個人情報の利用目的を変更する場合は変更した後の利用目的が変更する前の利用目的と関連性のある目的でなければならず、大きく変更することは許されません。個人情報が保護される目的であれば、問題はありませんが、文言を削除するのではなく、加えるのが望ましいでしょう。
ワンポイントアドバイス
もし、利用目的を大きく変更する場合は、利用者等から同意を得ることで利用目的を変更することができます。
ただし、変更した利用目的の一部を利用者等が同意できないという申出があった場合は、変更した利用目的は利用者等から同意を得た範囲のみ適用されます。
利用目的を変更した場合、事業者は利用者・利用者家族・施設職員・ボランティア等に通知するか、公表することが義務付けられています。
利用目的による制限
障害福祉サービス事業者は、あらかじめ利用者等の同意を得ないで、特定した利用目的の範囲を超えて個人情報を取り扱うことはできません。
目的外利用に当たるケース
・就労継続支援B型事業でパン販売を行っている場合、パンを購入した客に配送するために取得した個人情報を利用して、新商品を販売する目的でダイレクトメールを送付するケース
目的外利用に当たらないケース
・利用者等の同意を得るために家族・後見人に電話・メールをするケース
・個人情報を加工し、匿名加工情報に加工するケース
合わせて押さえる
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工して得られる個人情報であり、個人情報保護法で保護される個人情報に該当しないものです。復元ができないようにしなければなりません。
事業所外の学会等で事例を報告するために個人情報を使用したい場合は匿名加工情報に加工する必要があります。
障害福祉サービス事業者の母体である法人が合併したり、M&Aにより買収されるといった事業の承継により事業者が変更になるケースもあるかと思います。
その場合であっても、前法人から取得した個人情報に関しては前法人で特定した利用目的に沿って取り扱わなければならず、利用目的を超えて使用する場合は、利用者等の同意を得なければなりません。
利用者等の同意がなくても個人情報の目的外利用が可能なケース(例外)
以下のケースは利用者等の同意がなくても、個人情報を目的外利用することができます。
・法令に基づくケース
例)社会福祉法に基づく立入調査
例)児童虐待防止法、障害者虐待防止法に基づく障害児者の虐待に係る通報
例)刑事訴訟法に基づく令状による捜査、取調べ
例)地方税法に基づく質問検査
・人の生命、身体又は財産の保護のために必要があり、利用者等の同意を得ることが困難なケース
例)事業所が災害により被災したり、事故による怪我等の緊急時に被災者や負傷者の情報を関係機関に提供するケース
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要があり、利用者等の同意を得ることが困難なケース
例)障害児者虐待事例について関係機関と情報交換するケース等
・国、地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であり、利用者等の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがあるケース
例)統計調査を実施するためのアンケートに協力するケース等
最後に
個人情報を取り扱う際の利用目的についておさらいすると、以下の4点を遵守する必要があります。
・個人情報を取り扱う利用目的を特定する
・特定した利用目的の範囲内で個人情報を取り扱う
・利用目的の範囲を超えて使用する場合は、利用者等の同意を得る(例外を除く)
・利用目的を変更する場合は、利用者等に通知するか、ホームページ等で公表する
最後までお読みいただきありがとうございました。
“個人情報の利用目的に関する義務 〜障害福祉サービス事業者が遵守する個人情報保護に関する義務〜” に対して2件のコメントがあります。
コメントは受け付けていません。