目的外利用とは何か|取得した個人情報を別目的で使うリスク
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
個人情報保護法への対応は、取得した時点で終わりではありません。実務でよく起きるのが、取得後に「この情報、別の用途にも使えないか」という相談です。問い合わせ情報を営業リストに使う、採用応募者の情報を別施策に使う、名刺情報をメール配信に使う、既存顧客の情報を新規事業に使う——こうした場面で問題になるのが「目的外利用」です。
本記事では、目的外利用の基本と、企業法務担当者が「この情報を別目的に使えるか」と相談されたときに確認すべき判断ポイントを整理します。過度に怖がる必要はありません。当初目的・本人の予測可能性・同意・記録を順に確認すれば、多くは整理できます。
第4話で「利用目的の特定・通知・公表」を、第5話で「取得時の注意点」を学びました。第6話では、取得した個人情報を当初と違う目的で使う場合の考え方に進みます。利用目的の基本を振り返りたい方は第4話:利用目的の特定・通知・公表をご覧ください。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
まず結論|取得した個人情報は「何にでも使える」わけではない
先に結論をお伝えします。個人情報は、原則として、取得時に特定した利用目的の達成に必要な範囲内で利用する必要があります(法第18条第1項)。会社が持っているからといって、何にでも自由に使えるわけではありません。
当初の目的を超える使い方をしたい場合は、本人の同意を得る/利用目的を変更する(関連性のある範囲で)/取得し直す/その利用を行わないといった対応を検討します。まずは、ざっくりとした方向感を表で押さえましょう。
| 方向性 | イメージ | 対応の例 |
|---|---|---|
| 使える可能性がある | 当初目的の範囲内、または関連性があり本人が通常予期できる範囲 | 当初目的の範囲内ならそのまま利用。利用目的を変更する場合は、変更後の利用目的を通知・公表し、判断記録を残す |
| 慎重な確認が必要 | 当初目的との関連性が微妙/本人の予測がやや難しい | 関連性・同意の要否を確認、必要なら変更手続 |
| 原則として避けるべき | 当初目的と無関係/本人が予期できない/不利益が大きい | 同意取得・取得し直し・利用中止を検討 |
目的外利用とは何か
目的外利用とは、ごく簡単に言えば、取得時に示した利用目的の範囲を超えて個人情報を利用することが問題になる場面のことです。個人情報保護法では、あらかじめ本人の同意を得ないで、特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは、原則としてできないとされています(法第18条第1項)。
たとえば、次のような利用は、当初の利用目的によっては目的外利用が問題になり得ます。
- 問い合わせ回答のために取得したメールアドレスを、別サービスの営業メールに使う
- 採用選考のために取得した履歴書情報を、営業活動や別会社への紹介に使う
- セミナー申込者の情報を、申込時に示していない第三者提供や広告配信に使う
- 従業員情報を、当初説明していない社外公表や別目的の分析に使う
ただし、これらが直ちに「違法」と決まるわけではありません。具体的な適否は、当初の利用目的の記載内容、取得場面、本人の予測可能性、同意の有無などにより判断が必要です。本記事は、その判断の見取り図を示すものとして読んでください。
| 項目 | 意味 | 実務上のポイント | 関連する後続記事 |
|---|---|---|---|
| 利用目的による制限 | 特定した目的の達成に必要な範囲を超えた利用は原則不可(法18条1項) | 当初目的の範囲を起点に考える | 第4話 |
| 利用目的の変更 | 関連性を有すると合理的に認められる範囲で可(法17条2項) | 本人が通常予期し得るかを確認 | 本記事 第5章 |
| 本人同意 | 範囲を超えるなら原則あらかじめ同意が必要(法18条1項) | 何への同意かを明確にする | 本記事 第6章 |
| 変更後の通知・公表 | 変更したら本人に通知または公表(法21条3項) | 変更点が分かる形で示す | 第4話 |
なお、目的外利用は「外部に渡す」第三者提供とは別の問題です。社内で使う場合でも目的外利用は問題になり得ます(外部提供は第7話で扱います)。両者を混同しないようにしましょう。
利用目的の範囲内かどうかを見る視点
目的外利用かどうかを考えるときの軸は、「当初の利用目的から見て、その利用が本人に通常予期し得る範囲か」です。会社にとって便利かどうかではなく、本人の立場から見て想定の範囲かを意識します。次の判断ポイントを確認しましょう。
| 判断ポイント | 確認内容 | リスクが高まる例 | 法務の対応 |
|---|---|---|---|
| 当初の利用目的 | 取得時に何と特定したか | 目的が抽象的・不明確 | 取得時の記載を確認する |
| 取得時の表示 | 本人にどう示したか | 表示がなかった・見えにくい | 表示内容を確認する |
| 当初目的との関連性 | 新しい利用がどの程度関連するか | ほぼ無関係な用途 | 関連性の有無を整理する |
| 本人の予測可能性 | 本人が通常予期できるか | 本人が想定し得ない利用 | 予測可能性を検討する |
| 利用する情報項目 | 必要最小限か | 不要な項目まで使う | 対象項目を絞る |
| 不利益・違和感 | 本人に不利益や違和感が生じやすいか | 勝手に使われたと感じる | 影響を評価する |
| 情報の性質 | 要配慮・センシティブ情報を含むか | 健康・思想等を含む | 取扱いを特に慎重にする |
| 社外提供・広告利用 | 外部提供や広告利用を伴うか | 第三者提供・広告配信を伴う | 提供の論点も併せて確認(第7話) |
なお、「本人が通常予期できるか」は重要な判断要素ですが、それだけで自動的に利用目的の変更が認められるわけではありません。法文上は、変更前の利用目的と関連性を有すると合理的に認められる範囲かどうかを、取得場面・情報の性質・新たな利用内容を踏まえて客観的に確認する必要があります。
利用目的の変更ができる場合・できない場合
利用目的そのものを変更したい場合もあります。利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲で変更できます(法第17条第2項)。個人情報保護委員会の通則ガイドラインでは、この範囲は、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内と整理されています。そして、変更した場合は、変更後の利用目的を本人に通知し、または公表する必要があります(法第21条第3項)。
ここで大切なのは、「関連性が少しでもあれば自由に変更できる」わけではないということです。本人が通常予期し得る限度を超える変更は、慎重に確認すべきです。
| 変更前の利用目的 | 変更後(やりたいこと) | 判断の方向性 | 理由 |
|---|---|---|---|
| 問い合わせ対応のため | 問い合わせ対応品質の改善・分析 | 関連性が認められやすい | 当初目的と密接で本人も予期しやすい |
| 商品の発送のため | 配送状況の確認・返品対応 | 関連性が認められやすい | 取引の履行に付随する範囲 |
| 採用選考のため | 選考連絡・入社手続・採用活動の改善 | 関連性が認められやすい | 採用の一連の流れとして予期できる |
| 問い合わせ対応のため | 無関係な新規サービスの営業メール | 原則不可(同意が必要) | 当初目的との関連性が認められず、変更の範囲を超える(法18条1項の同意が必要) |
| 盗難・不正利用時の連絡のため | 商品・サービスの案内(広告) | 認められにくい | 当初の安全目的と関連性を欠きやすい |
判断に迷う場合は、利用目的の変更で対応するのか、本人同意を取るのか、取得し直すのかを整理します。プライバシーポリシーの改定が必要になる場合は、プライバシーポリシー改定テンプレ、プライバシーポリシー改正対応も参考にしてください。
本人同意が必要になる場面
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、原則として、あらかじめ本人の同意を得る必要があります(法第18条第1項。なお、法令に基づく場合など、同意が不要となる例外も定められています)。
同意を取る際に重要なのは、本人が「何に同意しているのか」を分かる状態にすることです。形だけの同意では、十分とは言えない場合があります。
・包括的すぎる同意:何にでも使える、という漠然とした同意は望ましくありません
・後出しの同意:すでに別目的で使ってしまった後に取る同意では足りない場合があります
・同意の強制:サービス提供に必要のない目的(無関係な広告配信など)への同意を利用条件として必須にし、同意しないと使わせない設計(クッキーウォール等と呼ばれることがあります)は、適正な取扱いの観点から望ましくなく、リスクが高い場合があります
・実態の分からない同意:チェックボックスだけで内容が伝わっていない同意は要注意
あわせて、同意の取得方法・記録、撤回への対応、同意しない場合の取扱い(サービス提供への影響など)も確認しておきましょう。
社内利用なら目的外利用にならないのか
「社内の別部署で使うだけなら自由では?」という質問はよくあります。しかし、社内の別部署で利用する場合でも、当初特定した利用目的の達成に必要な範囲を超えるなら、目的外利用の問題が生じ得ます。「社内だから自由」ではありません。
たとえば、次のようなケースは注意が必要です。
- カスタマーサポートが取得した問い合わせ情報を、営業部が別商材の営業に使う
- 採用部門が取得した応募者情報を、営業部門が見込み顧客リストに使う
- 人事部門が取得した従業員の健康情報を、無関係な部署が閲覧・利用する
社内利用であっても、確認すべきは「当初の利用目的・利用する権限・必要性」です。とくに従業員の健康情報のような要配慮個人情報は、部署横断で安易に共有しないよう注意してください。社内の他部署への提供と目的外利用の考え方は、個人情報保護委員会のQ&Aでも示されています(末尾の参考リンク参照)。従業員情報の二次利用は第12話:従業員情報の管理で扱います。
場面別|目的外利用になりやすい例
実務で相談されやすい場面を整理します。自社の状況に当てはめて確認してみてください。
| 場面 | 追加でやりたい利用 | 確認すべきこと | 関連記事 |
|---|---|---|---|
| 問い合わせ情報の営業利用 | 問い合わせ者へ別商材を営業 | 当初目的に営業が含まれるか | 第4話 |
| 資料請求者へのメール配信 | 継続的なフォロー・案内配信 | 取得時に配信目的を示したか | 第5話 |
| 名刺情報のメルマガ登録 | 名刺の連絡先へメルマガ配信 | 予測可能性・他法令の遵守 | 第13話 |
| 採用応募者情報の別目的利用 | 選考以外の用途で利用 | 選考目的との関連性 | 第11話 |
| 従業員情報の社内分析 | 当初説明外の分析・公表 | 要配慮情報の有無・権限 | 第12話 |
| セミナー参加者情報の共同利用 | グループ会社等との共同利用 | 共同利用・提供の整理 | 第7話 |
| キャンペーン応募者情報の広告配信 | 応募者へ定常的な広告配信 | 応募時の想定範囲か | 第5話 |
| 既存顧客情報の新規事業利用 | 別事業のマーケに転用 | 当初目的との関連性 | 共有の実務結論 |
| 事業譲渡・M&Aで引き継いだ顧客データ | 自社の既存・新規事業への流用 | 承継前の利用目的の範囲内か(超える場合は本人同意が必要。法18条2項) | 第7話 |
| SaaSログ情報の別目的分析 | 取得目的外の行動分析 | 取得時の目的・予測可能性 | 第14話 |
| 生成AIへの入力・分析利用 | 個人情報をAIに入力して分析 | 委託・提供該当性・入力可否 | AI法務ガイド |
「匿名化すれば常に問題が解消する」とは限りません。匿名加工情報・仮名加工情報には固有の加工要件やルールがあり、単に氏名を消すだけでは要件を満たさないことが多いためです(用語整理は第2話を参照)。
目的外利用を避けるための事前設計
目的外利用の問題は、多くの場合、取得時の利用目的設計が曖昧だったことに起因します。つまり、入口で整理しておけば、後から悩む場面を減らせます。第4話・第5話の内容に立ち返り、取得前に次の点を整理しておきましょう。
- 利用目的を具体的に書く(抽象的な表現にしない)
- 将来的に予定している利用があれば、取得時に整理しておく
- 取得項目を利用目的に合わせて絞る
- フォーム・プライバシーポリシー・社内台帳を整合させる
- メール配信や広告利用の有無を明確にする
- 委託・共同利用・第三者提供の有無を確認する
ただし、「将来あり得るすべての用途を、念のため広く書いておけばよい」というわけではありません。広すぎる利用目的は、本人にとって予測しにくくなり、かえって望ましくありません。「具体性」と「将来の見通し」のバランスを意識してください。
目的外利用が疑われるときの対応ステップ
事業部門から「この情報を別用途に使えるか」と相談を受けたら、次の順番で確認すると、論点の抜けを防げます。
- 当初の取得場面を確認する(いつ、どこで取得したか)
- 当初の利用目的の表示内容を確認する(何と示したか)
- 新しい利用目的を具体化する(何に使いたいか)
- 当初目的との関連性を確認する
- 本人が通常予期できるかを確認する
- 本人同意の要否を確認する
- 通知・公表・ポリシー見直しの要否を確認する
- 社内承認・判断記録を残す
- 必要に応じて利用を止める・取得し直す
| ステップ | 確認内容 | 残すべき記録 | 関係部署 |
|---|---|---|---|
| ① 取得場面の確認 | 取得時期・経路 | 取得経路メモ | 事業部門・法務 |
| ② 当初目的の確認 | 表示した利用目的 | 取得時の表示記録 | 法務 |
| ③ 新目的の具体化 | 追加利用の内容 | 相談内容メモ | 事業部門 |
| ④ 関連性の確認 | 当初目的との関連 | 関連性の判断メモ | 法務 |
| ⑤ 予測可能性の確認 | 本人が予期できるか | 判断理由 | 法務 |
| ⑥ 同意要否の確認 | 同意が必要か | 同意要否の判断 | 法務 |
| ⑦ 通知・公表の確認 | ポリシー見直しの要否 | 見直し記録 | 法務・総務 |
| ⑧ 社内承認 | 実施可否の決裁 | 承認記録 | 法務・経営層 |
| ⑨ 中止・取り直し | 代替対応の検討 | 対応方針メモ | 事業部門・法務 |
企業法務担当者が事業部門に確認すべき質問
相談を受けたときに使える質問を整理します。これらを順に聞くだけで、判断に必要な材料が一通り揃います。
| 質問 | 確認意図 | 問題になりやすい回答 | 次に見る論点 |
|---|---|---|---|
| その情報はいつ・どの場面で取得しましたか | 取得経路の確認 | 「よく覚えていない」 | 取得時の利用目的 |
| 取得時にどの利用目的を表示しましたか | 当初目的の確認 | 「特に示していない」 | 通知・公表・明示(第4話) |
| 新しく何に使いたいのですか | 追加利用の具体化 | 「いろいろ使いたい」 | 新目的の特定 |
| 当初目的との関係をどう説明できますか | 関連性の確認 | 「関係はないが便利」 | 関連性・変更の可否 |
| 本人はその利用を通常予期できると思いますか | 予測可能性の確認 | 「気づかないと思う」 | 同意の要否 |
| 追加で本人同意を取れますか | 同意取得の可否 | 「取りにくい」 | 同意取得方法・記録 |
| 利用対象者を絞れますか | 範囲の最小化 | 「全員に使いたい」 | 対象・項目の限定 |
| 要配慮・センシティブ情報を含みますか | 情報の性質確認 | 「健康情報も含む」 | 要配慮個人情報の取扱い |
| 社外提供・委託・共同利用はありますか | 外部提供の有無 | 「他社にも渡す」 | 第三者提供(第7話) |
| 本人から利用停止・消去等の請求や問い合わせが来た場合の対応はありますか | 本人対応の準備 | 「想定していない」 | 保有個人データに関する本人対応フロー |
よくある誤解と正しい理解
目的外利用をめぐる代表的な誤解を整理します。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| 社内で使うだけなら目的外利用にならない | 社内でも当初目的の範囲を超えれば問題になり得る | 部署間の転用は範囲を確認する |
| プライバシーポリシーに広く書けば何でも使える | 本人が予測できる程度の特定が前提 | 広く書けば安全ではない |
| 本人が一度提供した情報は自由に使える | 提供=あらゆる利用への同意ではない | 特定した目的の範囲で使う |
| メールアドレスだけなら目的外利用は問題にならない | 項目の少なさは目的外利用の可否を左右しない | 利用目的との整合で判断する |
| 名刺交換した相手には自由に営業メールを送れる | 一定の予測可能性はあるが他法令も関わる | 特定電子メール法、通信販売等に該当する場合の特定商取引法も確認(第13話) |
| 採用応募者情報は社内資料だから自由に分析できる | 選考目的との関連性の確認が必要 | 別目的利用は慎重に(第11話) |
| 同意チェックを置けばどんな利用でも許される | 何への同意か不明確だと不十分 | 同意の内容・範囲を明確にする |
| 利用目的を後から書き換えれば過去の利用も問題ない | 後からの書き換えで過去の利用が当然に正当化されるわけではない | 変更には関連性と通知・公表が必要 |
判断記録を残す重要性
目的外利用の判断は、後から「なぜその利用が問題ないと判断したのか」を説明する必要が生じることがあります。だからこそ、判断のプロセスを記録に残しておくことが実務上重要です。法務相談メモ、個人情報取扱台帳、利用目的変更記録、同意取得記録、事業部門への回答メモなどが、後から自社を守る材料になります。
| 記録項目 | 記録する内容 | 残す理由 | 管理部署 |
|---|---|---|---|
| 相談内容 | 事業部門の要望 | 判断の前提を明確化 | 法務 |
| 取得時の利用目的 | 当初の表示内容 | 範囲判断の基礎 | 法務 |
| 新たな利用目的 | 追加利用の内容 | 変更点の明確化 | 法務・事業部門 |
| 関連性の判断 | 当初目的との関連 | 判断根拠の記録 | 法務 |
| 本人同意の要否 | 同意の要不要と理由 | 手続の妥当性 | 法務 |
| 通知・公表の要否 | ポリシー見直しの有無 | 対応の追跡 | 法務・総務 |
| 実施可否 | 最終判断 | 意思決定の記録 | 法務・経営層 |
| 条件・制限 | 対象・項目の限定など | 運用条件の明確化 | 法務・事業部門 |
| 承認者 | 決裁者 | 責任の所在 | 経営層 |
| 実施後の管理方法 | モニタリング方法 | 継続管理 | 各部署 |
こうした記録は、社内管理ルールや個人情報取扱台帳と一体で運用すると効率的です。詳しくは第9話:個人情報の社内管理ルールで扱います。
目的外利用の判断では、当初の利用目的、新しい利用目的、本人同意の要否、通知・公表の要否、社内承認、判断記録などを文書化して整理する必要があります。「目的外利用チェックメモ」「利用目的変更の判断記録」「本人同意要否チェック」「プライバシーポリシー改定前の確認メモ」といったたたき台づくりを効率化したい法務・総務・情シス担当者の方には、個人情報保護法対応AIプロンプト集が補助ツールとして役立ちます(最終的な内容の確認・判断は担当者ご自身で行ってください)。
個人情報保護法対応AIプロンプト集を見るそのほかのツールは 商品一覧/LegalOS法律相談 もご覧いただけます。
このシリーズでの次の学び方
目的外利用の考え方を押さえたら、次は個人データを外部に渡す場合の論点に進みます。第7話では、第三者提供・委託・共同利用の違いを扱います。第8話・第9話では、取得後の安全管理措置と社内管理ルールを、第13話では営業リスト・名刺情報・メール配信を詳しく扱います。
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方 | 記事を読む |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは?中小企業・スタートアップも対象になるのか | 対象事業者性の入口 | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本 | 記事を読む |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応 | 記事を読む |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク(本記事) | 本記事 |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間 | 記事を読む |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか | 記事を読む |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目 | 記事を読む |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版 | 記事を読む |
まとめ|「当初目的・予測可能性・同意・記録」で整理する
目的外利用は、取得後に個人情報を別目的で使いたいときに問題になりやすい論点です。しかし、過度に身構える必要はありません。当初の利用目的・新しい利用目的・本人の予測可能性・同意の要否・通知公表の要否を順に確認すれば、多くは整理できます。
判断が難しい場合は、いったん利用を止めるのが安全です。そのうえで、当初の利用目的・本人同意の要否・社内承認・プライバシーポリシーとの整合を確認しましょう。そして、なぜその判断に至ったかを記録に残すことが、後から自社を守ることにつながります。
次回・第7話では、「第三者提供・委託・共同利用の違い|外部提供で迷う基本だけ整理」を解説します。個人データを外部に渡すときに、どの類型に当たるかで手続が変わる——その基本を整理します。
- 個人情報保護委員会「個人情報保護法等」
https://www.ppc.go.jp/personalinfo/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「Q&A」
https://www.ppc.go.jp/personalinfo/faq/ - 個人情報保護委員会「利用目的の変更が認められると考えられる事例に関するQ&A」
https://www.ppc.go.jp/all_faq_index/faq1-q2-8/ - 個人情報保護委員会「利用目的の変更が認められないと考えられる事例に関するQ&A」
https://www.ppc.go.jp/all_faq_index/faq1-q2-9/ - 個人情報保護委員会「会社の他の部署へ個人データを提供する場合、あらかじめ本人の同意を得る必要はありますか。」
https://www.ppc.go.jp/all_faq_index/faq1-q7-2/ - 個人情報保護委員会「利用目的の特定(法第17条第1項)、通知又は公表(法第21条第1項)とは、目的をどれほど詳細に通知又は公表すれば足りるのでしょうか。」
https://www.ppc.go.jp/all_faq_index/faq4-q103/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057
※ 本記事は2026年6月時点の現行法・個人情報保護委員会の公的資料をもとに、企業法務実務の一般的な整理として解説したものです。個別の取扱いの可否は事情により異なるため、実務対応にあたっては最新の法令・ガイドラインをご確認のうえ、必要に応じて専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
