個人情報取扱事業者の義務のうち、利用目的による制限を取り上げます。

利用目的による制限

　個人情報取扱事業者は、取得した個人情報をその利用目的（個人情報の利用目的の特定参照）に従って、利用しなければなりません。

（利用目的による制限）

第十八条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

３　前二項の規定は、次に掲げる場合については、適用しない。

一　法令（条例を含む。以下この章において同じ。）に基づく場合

二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

五　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的（以下この章において「学術研究目的」という。）で取り扱う必要があるとき（当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

六　学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

あらかじめ本人の同意を得ないで

　利用目的による制限は、個人情報の無限定な利用による本人の権利利益の侵害を防止することを目的にしています。そのため、あらかじめ本人が同意している場合は、利用目的を超えて個人情報を利用することが許容されます。

　ただし、本人の同意は、「どんな目的で利用されても異議を述べない」といった事前に包括的な同意を得ることは、認められていません。

　どのような目的で、個人情報を利用されるのかを本人が十分に認識できるように、具体的に利用目的を明示した上で、明示の同意である必要があります。

　本人の同意に関して、個人情報保護法は方式を規定していません。必ずしも書面で行う必要はなく、口頭での同意も認められてはいます。

個人情報を取り扱ってはならない

　個人情報の取扱いには、取得・加工・提供・保存・廃棄等の一切の行為を含みます。

利用目的による制限の例外

　個人情報の目的外利用が、常に本人の権利利益を具体的に侵害するとは限りません。個人情報保護法は、公益上の理由等により目的外利用を認めることによる利益が、目的外利用による本人の不利益を上回る場合に、利用目的による制限の例外を設けています。

　個人情報の目的外利用のほとんどは、第三者提供だと考えられます。そのため、利用目的による制限の例外は、第三者提供制限の例外と同じ事由になっています。

法令に基づく

　法令に具体的な根拠がある場合を意味します。ここでいう法令とは、法律・政令・内閣府令・省令等の法律に基づく命令・条例のことです。

人の生命、身体又は財産の保護のため～本人の同意を得ることが困難

　ここでいう人には、自然人だけでなく法人を含みます。

　本人の同意を得ることが困難とは、以下のような場合を意味します。

　この場合に、個人情報の目的外利用が認められるには、個人情報の利用によって、生命・身体・財産を保護することができるという結果回避可能性が合理的に認められる必要があると解されています。