個人情報の取り扱いやデータの第三者提供におけるルールは今、世界的に厳格化が進んでいます。IT技術の進歩の中、そのルールはこの先も変化や強化が進むことが考えられ、企業には柔軟かつ確実な対応が求められます。
今回は、データの第三者提供時の取り扱いや注意点、改正個人情報保護法の内容を踏まえながらご紹介します。
まず大前提として、「個人情報」とは、以下のどちらかにあてはまるものをいいます。
・生きている個人に関する情報で、その情報に含まれる氏名・年齢・生年月日やその他の記述によって特定の個人を識別できるもの
・生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別することができるもの
具体的には、人の氏名や、顧客名簿と紐づけられた販売リストなどがあります。「第三者提供」をするときに規制の対象となるのは、個人情報のうち「個人データ」に関する部分です。
第三者提供とは、個人情報保護法の概念において「個人データ(個人特定の可能性がある情報をデータベース化したもの)を取得者以外の第三者に提供すること」を意味します。
改正個人情報保護法では、第三者提供に際してはユーザー本人から同意を得るなど、所定のルールを遵守するよう定めています。違反時には法人の場合で最大1億円という高額な罰金が科せられるおそれがあり、企業は十分な対策を講じる必要があります。
次に、具体的にどのような注意するべき点について説明していきます。
一番、重要な点は、ユーザー本人の同意です。改正個人情報保護法では第三者提供に際して、原則としてユーザー本人に同意を得るよう義務付けています。
ユーザーに対して説明すべき事項は、利用目的、取得するデータ、第三者への提供方法、提供停止の申し出を受け入れる旨の通知など多岐にわたります。企業としては、ユーザー本人の同意を得るための枠組み作りが喫緊の課題となります。
また、第三者提供を受ける側の事業者も、コンプライアンス上の観点から、提供者が同意を得ていることを確認すべきと言えます。
下記事項に該当する場合には、例外的に第三者提供の同意が不要なケースもあります。
(1) 警察・裁判所による照会など法令に基づく要請
警察や裁判所、税務署などの公的機関から法令に則った要請を受けた場合は、同意が免除されます。公共の福祉が優先されるためです。
(2) 生命・身体・財産の保護に必要
災害時など本人の同意を得ることが困難で、かつ生命・身体・財産の保護のために必要と判断された場合も免除対象です。たとえば、輸血のために被災者の血液型や病歴を知る必要がある場合などが該当します。
(3) 児童虐待の情報など「公衆衛生・児童の健全育成に必要」
虐待を受けている子どもの情報を関連機関(学校・保護施設など)で共有する場合も同意が免除されます。生命の危険にさらされていることはもちろん、それに対して公に主張することが難しい児童や幼児の安全を守るためでもあります。
ここまでの3つはいずれも、「同意取得が難しいが、身の安全などプライバシーより優先されるべき事柄がある」と判断される場合において義務が免除されるケースです。
その他にも、業務の委託先へのデータの提供、あるいは共同利用においては例外的に同意が必要ありません。
(1)委託
委託とは、自分の会社の業務を他社にお願いすることをいいますが、業務に必要な個人情報を委託先に提供する場合には、第三者提供にあたらず、本人の同意なく個人情報の提供をすることができます。
例えば、通販サイトで注文を受けた商品の配送をするために、宅配業者にお客さんの住所や名前を提供する場合です。
なぜなら、提供先(宅配業者)は提供元(通販サイト運営者)のために住所などの個人情報を利用するだけで、それを他の新たな事業やビジネスに利用する目的はないため、もはや提供元が自ら個人情報を利用しているのと変わらないからです。
ただし、委託する場合、委託元には「委託先を監督する義務」が課せられます。
「監督」とは、以下の2点をさします。
①適切な委託先を選定すること
②委託先が個人情報を管理しているかどうかを把握すること
このように、個人データの提供が「第三者提供」にあたらず「委託」にあたる場合でも、個人情報保護法の別の角度から義務が発生することを把握しておく必要があります。
(2) 共同利用
「個人データの共同利用」とは、文字どおり個人データを複数の事業者が利用したり管理することをいいます。
例えば、グループ会社内で緊急連絡先を作るために社員の連絡先を共有するような場合です。
共同利用の場合には、あらかじめ以下の5点について本人に通知するか、本人が簡単に知ることができる状態にしておくことで、本人の同意を得なくても個人データの提供をすることができるようになります。
・共同利用をする旨
・共同利用する個人データの項目
・共同利用者の範囲
・共同利用する個人データの利用目的
・個人データを管理する責任者の名前(法人の場合は法人名)
こうすることで、本人からすれば自分の個人データを知らない人に勝手に使われてしまう、という心配がなくなるからです。
当然、上記の5点について適切に通知等をしていない場合には、本人の許可なく個人データの共同利用をすることはできません。
(3) 事業承継による提供
「事業承継」とは、合併や分社化・事業譲渡などによって事業が別の会社に引き継がれることをいいます。
事業承継の場合、個人データを利用して行う事業自体が移転するので、それに伴って個人データも移転するのが自然だと考えられます。
そのため、移転先は「第三者」とはみなされず、移転元から移転先への個人情報の提供は「第三者提供」にはあたりません。
ただし、移転先での個人データの利用範囲については、移転元で利用していた範囲に限定されます。
そのため、元の利用範囲外で個人データを利用したい場合には、あらためて本人の同意を得る必要があります。
次に、第三者提供に関する取り扱いルールを確認していきます。改正個人情報保護法により、現行の規則よりも提供時・受け取り時ともに厳しいルールが定められたため、注意する必要があります。
(1) 個人データを提供する側のルール
まずは、個人データを提供する事業者のルールを解説します。
① 個人情報を提供したことを記録する
第三者提供を行う際、事業者は日時・提供先など以下の情報を、文書・電磁的記録・マイクロフィルムのいずれかで記録する義務があります。
まず、本人の同意により個人データを第三者に提供した場合には以下の事項を記録する必要があります。
・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(中略)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
・当該個人データの項目
次に、オプトアウト手続きにより個人データを第三者に提供した場合には以下の事項を記録する必要があります。
・当該個人データを提供した年月日
・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(中略)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
・当該個人データの項目
これはどこから提供された情報なのかその責任の所在を明確にして、データの無責任な二次提供、三次提供を防ぐためです。なお、オプトアウトについては記事の後半部分で説明いたします。
② ユーザー本人の開示請求に応じる
今回の改正により、上記の「第三者提供記録」をユーザー本人が開示請求できるようになりました。開示請求を受けた場合の手順や注意点は、以下の記事で詳しく解説しております。
(2) 個人データを受け取る側のルール
続いて、個人データを受け取る側の事業者が遵守すべきルールです。受け取る側のルールは大きく「確認義務」と「記録義務」の2種類に分類できます。
① 確認義務
第三者提供を受ける事業者は、以下の通り「提供元の代表者の氏名や住所等」と「当該個人データの取得経緯等」について確認する義務を負います。
すなわち、当該個人データが合法的に取得されたものであるのか、受け取る側でも確認しなければいけません。確認すべき事項は、ガイドライン上、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などと記載されています。
なお、確認すべきは「今回、自社とやり取りする第三者の取得経緯」であり、それ以前に遡ってデータの出所を明らかにする義務はありません。
② 記録義務
実際に第三者提供を受けた後には、速やかに「第三者提供を受けたこと」に関する記録を作成・保管する義務があります。文書・電磁的記録・マイクロフィルムのいずれかにより以下の内容を記録しましょう。
まず、本人同意により第三者提供を受けた場合には以下の事項を記録する必要があります。
・法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
・当該第三者による当該個人データの取得の経緯
・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
・当該個人データの項目
次に、オプトアウトにより第三者提供を受けた場合には以下の事項を記録する必要があります。
・個人データの提供を受けた年月日
・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
・当該第三者による当該個人データの取得の経緯
・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
・当該個人データの項目
・個人情報保護委員会により公表されている旨
最後に、私人など(個人情報取扱事業者以外など)から第三者提供を受ける場合には以下の事項を記録する必要があります。
・当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
・当該第三者による当該個人データの取得の経緯
・当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
・当該個人データの項目
IT技術の発展により個人データが容易に国境を越えてやりとりされるように時代が変化していることを念頭に、改正法では「外国にいる第三者に提供する場合の取扱いルール」も厳格化しました。
具体的に、事業者は、一部の例外を除いて、「外国にある第三者への個人データの提供」をする旨について本人から同意を得る必要があります。具体的に本人へ情報提供すべきだと法律により定められている事項は以下の通りです。
・当該外国の名称
・適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
・当該第三者が講ずる個人情報の保護のための措置に関する情報
なお、そもそも相手が外国の第三者に当たるかどうかの判断は、同一法人格内での行動なのかによります。たとえば、外国で法人格を取得している親企業に対して、子会社である日本法人が個人データを提供するような場合は、外国の第三者とみなされるため注意が必要です。
もっとも、外国にある第三者への提供、本人同意が不要になる例外ケースが、以下のとおり3種類あります。
・当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定める国にある場合
・当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
・次の①から⑦までのいずれかに該当する場合(法第27条第1項各号関係)
① 法令に基づいて個人データを提供する場合(第1号関係)
②人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)
③公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難 である場合(第3号関係)
④国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)
⑤学術研究機関等が個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)(第5号関係)
⑥学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第6号関係)
⑦学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第7号関係)
今回の個人情報保護法の全面施行により、第三者提供においては提供側・受け取り側双方に多数の新たなルールが課せられ、特にユーザー本人の同意を得ることが重要となると予想されます。
企業内の個人情報保護の枠組みをできるだけ早く整え、間違いのない第三者提供のための対策をとることが、多くの企業にとって欠かせない課題です。
ご不明点やご相談事項がございましたら、オリエンタル法律事務所に気兼ねなくご相談ください。
ニュース一覧
| 名称 | オリエンタル法律事務所 | ||||
|---|---|---|---|---|---|
| 弁護士 | 佐野太一朗 | ||||
| 連絡先 |
|
||||
| 所在地 | 〒106-0032 東京都港区六本木4-10-7 エルビル5階 Googlemap |
||||
| アクセス | 六本木駅 6番出口徒歩1分 |
