🎯
目的限定原則(Purpose Limitation)
データ最小化の論理的前提。目的の特定・文書化から function creep 防止、互換性テストまで
目的限定原則とは
UK GDPR Article 5(1)(b) に定められた原則:
個人データは「特定された、明示的で、正当な目的のために収集され、その目的と相容れない方法でさらに処理されてはならない」
データ最小化の論理的前提:目的が定まっていないと「何が必要か」の判断自体ができない。
なぜ最小化の前提になるのか
目的が曖昧な場合:
「必要なデータ」の範囲が決まらない
→ 3要件テスト(adequate/relevant/necessary)が機能しない
目的が明確な場合:
「この目的に対して必要なのはこのデータ項目」という判断が可能
→ データ最小化の評価軸が確立するFunction Creep(機能的拡大)の防止
Function Creep = 当初の収集目的とは異なる目的でデータが使われていく現象。
典型的なパターン:
収集時: 「配送のために住所を収集」
後から: 「マーケティング分析にも使おう」 ← function creep
さらに後: 「第三者に販売しよう」 ← さらなる creepFunction creep は最も頻繁に発生する GDPR 違反の一因。 目的を明確に文書化し、変更時に互換性テストを実施することで防止する。
互換性テスト(Compatible Secondary Use)
当初の目的と異なる二次利用が「互換的」かどうかを判断する6要素(ICO 基準):
1. 目的の関連性
当初の目的と新しい目的の間に明確な関連があるか
2. 収集の文脈
データを収集した文脈(本人の合理的な期待)と一致するか
3. データの性質
特別カテゴリデータや犯罪データを含む場合は要件が厳しくなる
4. 二次利用の影響
本人への悪影響(差別・harm・embarrassment)の可能性
5. 適切な保護措置
暗号化・仮名化・アクセス制限などが実施されているか
6. その他の文脈要因
合理的な人間が「これは想定内」と感じる範囲か6要素をすべて考慮した上で総合的に判断する。機械的なチェックリストではない。
目的の「特定・明示・正当性」の条件
| 条件 | 意味 | 違反例 |
|---|---|---|
| 特定(Specified) | 具体的・明確な目的 | 「サービス改善のため」(曖昧すぎる) |
| 明示(Explicit) | 書面・プライバシーポリシー等で宣言 | 収集時に目的を告げない |
| 正当(Legitimate) | 適法処理の根拠(Article 6)が存在する | 根拠なき処理 |
RoPA との接続
目的の文書化は処理活動記録(RoPA)の中核的要素。
RoPA に記録すべき目的情報:
- 処理の目的(what/why)
- 法的根拠(Article 6 のどれか)
- 目的変更の履歴と互換性テストの結果目的が変わったのに RoPA が更新されていない状態は アカウンタビリティ違反の証拠になり得る。
例外:研究・統計・公共利益
Article 89(1) により、以下の目的への二次利用は 「原則として互換的」と見なされる特別扱いがある:
・科学的・歴史的研究
・統計目的
・公益目的のアーカイブ
ただし条件あり:
□ 最小化・仮名化等の保護措置を実施
□ データ主体の権利を不合理に侵害しない
□ 技術的・組織的措置が実装済み関連トピック
- 1. 🔒データ最小化原則 概観(GDPR Article 5(1)(c))
- 2. ⚖️データ最小化の3要件テスト(adequate・relevant・necessary)
- 3. 🎯目的限定原則(Purpose Limitation)
- 4. 📅保存期限限定原則(Storage Limitation)
- 5. 🏗️プライバシー・バイ・デザイン(Privacy by Design & Default)
- 6. 🎭仮名化と匿名化(Pseudonymisation & Anonymisation)
- 7. 🔍データ保護影響評価(DPIA)
- 8. 🗂️処理活動記録(RoPA)とデータマッピング
- 9. 👤データ主体の権利と最小化
- 10. 📋アカウンタビリティと立証責任(GDPR Article 5(2))
出典: ICO - UK GDPR Guidance / GDPR Article 5(1)(b)