弁護士 野溝夏生

個人情報取扱事業者の義務(「第三者提供の制限」編(その2))

第三者提供の制限に関する規定である個人情報保護法23条は、内容のボリュームが非常に大きいため、いくつかの記事に分けることとします。
今回の記事は、オプトアウトによる第三者提供に関する、法23条2-4項についての解説となります。

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

第三者提供の制限(改正法23条、改正部分強調)

個人情報保護法第23条 (略)
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第17条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
 一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第26条第1項第1号及び第27条第1項第1号において同じ。)の氏名
 二 第三者への提供を利用目的とすること。
 三 第三者に提供される個人データの項目
 四 第三者に提供される個人データの取得の方法
 五 第三者への提供の方法
 六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
 七 本人の求めを受け付ける方法
 八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
3 個人情報取扱事業者は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5-6 (略)

個人情報保護法施行規則第7条 法第23条第2項又は第3項の規定による通知又は容易に知り得る状態に置く措置は、次に掲げるところにより、行うものとする。
 一 第三者に提供される個人データによって識別される本人(次号において「本人」という。)が当該提供の停止を求めるのに必要な期間をおくこと。
 二 本人が法第23条第2項各号に掲げる事項を確実に認識できる適切かつ合理的な方法によること。
2 法第23条第2項又は第3項の規定による届出は、次に掲げる方法のいずれかにより行わなければならない。
 一 個人情報保護委員会が定めるところにより、電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と届出を行う者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。)を使用する方法
 二 別記様式第一による届出書及び当該届出書に記載すべき事項を記録した光ディスク)これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下「光ディスク等」という。)を提出する方法
3 個人情報取扱事業者が、代理人によって法第23条第2項又は第3項の規定による届出を行う場合には、別記様式第二によるその権限を証する書面(電磁的記録を含む。以下同じ。)を個人情報保護委員会に提出しなければならない。
第8条 外国にある個人情報取扱事業者は、法第23条第2項又は第3項の規定による届出を行う場合には、国内に住所を有する者であって、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を有するものを定めなければならない。この場合において、当該個人情報取扱事業者は、当該届出と同時に、当該個人情報取扱事業者が国内に住所を有する者に、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を付与したことを証する書面(日本語による翻訳文を含む。)を個人情報保護委員会に提出しなければならない。
第10条 個人情報取扱事業者は、法第23条第4項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、同条第2項に掲げる事項(同項第2号、第3号又は第5号に掲げる事項に変更があったときは、変更後の当該各号に掲げる事項)を公表するものとする。

「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合」(2項)

いわゆるオプトアウトの場合を指しています。
「提供を停止」とは、新たな第三者提供を停止するという意味であり、既に提供した情報を第三者から回収することは含みません。

「次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる」(2項)

個人情報取扱事業者は、あらかじめ本人の同意を得るか、又は除外事由に該当する事由のないかぎり、個人データを第三者に提供してはならないのが原則です(23条1項)。
もっとも、その例外として、次の事項をあらかじめ本人に通知し、又は本人に容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、本人の同意をあらかじめ得ることなく、個人データを第三者に提供することができます
(例は個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p48から引用)

2020年法改正によって、通知・公表が必要な事項が増えたため、現在のプライバシーポリシーや個人情報保護方針等の見直しや修正文言の検討が必要となります。

前記ガイドラインに記載のある、オプトアウトによる第三者提供の事例は、次のような事例です。

前記ガイドラインp48
 「住宅地図業者(表札や郵便受けを調べて住宅地図を作成・販売)やデータベース事業者(ダイレクトメール用の名簿等を作成・販売)が、あらかじめ上記(1)から(5)までに掲げる事項を自社のホームページに常時掲載し、本人からの停止の求めを受け付けられる状態にし、個人情報保護委員会に必要な届出を行った上で、販売等を行う場合」

本人への通知や本人が容易に知り得る状態に置く措置については、規則7条1項各号に定めが置かれています。

本人への通知に関しては、個人情報取扱事業者の義務(「取得に際しての利用目的の通知等」編)の記載と基本的に同様ですので、詳細はそちらをご参照ください。

「本人が容易に知り得る状態」とは、「事業所の窓口等への書面の掲示・備付けやホームページへの掲載その他の継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態」 をいいます(前記ガイドラインp49)。
言い換えれば、「本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態」 となります(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p35(A5-21))。

前記ガイドラインp49
 「事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならない」

前記ガイドラインp49によると、本人が容易に知り得る状態に該当する事例は、次のような事例となります。

「本人……が当該提供の停止を求めるのに必要な期間をおくこと」における「必要な期間」の起算点は、本人に通知し、又は本人が容易に知り得る状態に置いた時点です。
また、この「必要な期間」の満了点は、オプトアウトによる第三者提供を行う前でなければなりません。(以上、前記Q&A p35(A5-23))

なお、すでに23条1項に基づく同意を得ている場合には、オプトアウトによる第三者提供に関する手続に則る必要はありません。

「ただし、……要配慮個人情報又は第17条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない」(2項ただし書)

要配慮情報は、オプトアウトによる第三者提供が認められず、23条1項各号の除外事由のないかぎり、あらかじめの本人の同意を得ることなしにはこれを第三者に提供することはできません(23条1項)。

そして、2020年改正法により、17条1項の規定に違反して取得されたもの、すなわち、偽りその他不正の手段により取得された個人情報についても、オプトアウトによる第三者提供が認められないこととなりました。

また、2020年改正法により、オプトアウトによる第三者提供によって提供を受けたものについても、オプトアウトによる第三者提供が認められないこととなりました。
特にこの類型におけるオプトアウトが禁止されたことにより、従前のビジネススキームの見直しを迫られる可能性があります。

「前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに」(3項)

3項における「本人に通知し、本人が容易に知り得る状態に置く」も、2項の場合と基本的に同様です。

前記ガイドラインpp50-51によると、次のような方法であれば、適切かつ合理的な方法と解されるとされています。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く