第三者提供の制限に関する規定である個人情報保護法23条は、内容のボリュームが非常に大きいため、いくつかの記事に分けることとします。
今回の記事は、第三者提供に該当しないとされる、委託、事業承継、共同利用に関する、法23条5-6項についての解説となります。
併せて、 クラウドサービスを利用してクラウドに個人データを保管する行為が第三者提供に該当するか否かについても記載しています。
「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。
個人情報保護法第23条 (略)
2-4 (略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名 、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
個人情報取扱事業者がその利用目的の達成に必要な範囲内において個人データの取扱いの全部又一部を第三者に委託する場合、これに伴う当該個人データの提供は、そもそも第三者提供に該当しません。
したがって、あらかじめの本人の同意や第三者提供におけるオプトアウトも不要です。
ただし、委託元が行うことのできる個人データの取扱いのために当該個人データを提供する場合が本号によって第三者提供から除外されるのであって、そもそも委託元が行うことのできない個人データの取扱いのために当該個人データを提供する場合は、本号の対象ではありません。
この場合の個人データの提供は、第三者提供として扱われることとなります。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p52及び個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p36に記載のある委託の事例は、次のとおりです。
また、前記Q&A p36に記載のある、委託に該当しない事例は、次のとおりです。
なお、「共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけでは」ありません(前記ガイドラインp54)。
合併、分割、事業譲渡等によって事業が承継されたことに伴い、当該事業にかかる個人データが提供された場合は、当該事業承継先は第三者に該当せず、当該提供も第三者提供には該当しません。
ただし、承継元事業者が特定した利用目的の達成に必要な範囲内での利用でなければ、あらかじめ本人の同意を得なければなりません。
事業承継に関しては、個人情報取扱事業者の義務(「利用目的による制限」編)にも記載しておりますので、こちらも参照していただければと思います。
なお、事業の一部を承継する場合で、当該事業の利用目的の一部が承継元事業者に残る場合は、承継元事業者は、個人データを残して利用することができると考えられています(前記Q&A p37(A5-27))。
金融機関で延滞情報を共有する場合等、企業が取得した個人情報を、特定の他企業との間で相互・共同利用することは珍しいものではありません。
このような個人情報の共同利用は、本人にとっても利益となることもあれば、企業活動の効率化にも資するものと言い得ます。
このような場合にも、第三者提供の制限にかかる義務を課するとなると、手続コストが重くなり、合理的な個人情報の共同利用が阻害されるおそれもあります。
また、個人データの提供に際し、あらかじめ必要な事項を本人に通知し、又は本人が容易に知り得る状態に置いていれば、当該提供先は、本人から見て、元々の当該個人データを提供した事業者(提供元)と一体的に取り扱うことにも合理性があると言い得ます。
そこで、個人情報保護法は、一定の事項を本人に通知し、又は本人が容易に知り得る状態に置いている場合には、個人情報が誰に提供され、どのように利用されているかを本人が把握し得るため、第三者提供には該当しないとしています。
本号の適用対象となるために、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない情報は、次のとおりです。
(例は個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p53から引用)
「共同して利用する者の範囲」は、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があります。
なぜなら、本号の趣旨が、「本人から見て、提供元と提供先とを一体的に取り扱うことにも合理性がある」という点にあるためです。(以上、前記ガイドラインp53)
「利用する者の利用目的」に関して注意が必要な点として、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合、既に取得している事業者が法第15条第1項の規定により特定した利用目的の範囲で共同して利用しなければならないことが挙げられます。
したがって、この場合には、本号で必要な本人への通知等に加え、当該個人データを取得する際に当該事業者が法第15条第1項の規定により特定した利用目的の範囲内であることを確認する必要があります。
すなわち、「取得の際に通知・公表している利用目的の内容や取得の経緯等にかんがみて、既に特定の事業者が取得している個人データを他の事業者と共同して利用すること、共同して利用する者の範囲、利用する者の利用目的等が、当該個人データの本人が通常予期しうると客観的に認められるような場合」でなければなりません。(以上、前記Q&A pp38-39(A5-32-3、A5-32-4)等)
「個人データの管理について責任を有する者」とは、「開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者」をいいます(前記ガイドラインp53)。
また、ここでいう「責任を有する者」とは、「共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものでは」ありません(前記ガイドラインp53)。
なお、各共同利用者をそれぞれ「責任を有する者」とすることも可能です(前記Q&A p38(A5-32))。
前記ガイドラインpp53-54に記載のある、共同利用に該当する事例は、次のような事例です。
なお、本号の対象となる個人データの提供は、すべての共同利用者との間で行う必要はなく、また、双方向で行う必要もありません(前記ガイドラインp54)。
本人への通知に関しては、個人情報取扱事業者の義務(「取得に際しての利用目的の通知等」編)で述べた場合と基本的に同様ですので、詳細はそちらをご参照ください。
また、本人が容易に知り得る状態に関しては、個人情報取扱事業者の義務(「第三者提供の制限」編(その2))で述べた場合と基本的に同様ですので、こちらの詳細もそちらをご参照ください。
なお、前記ガイドラインp54では、事業者が共同利用を実施する場合には、共同利用者における責任等を明確にし円滑に実施する観点から、次のような事項についても、あらかじめ取り決めておくことが望ましいとされています。
6項における「本人に通知し、又は本人が容易に知り得る状態に置(く)」も、5項の場合と基本的に同様です。
なお、6項の文言にも含まれていないように、「共同して利用される個人データの項目」や「共同して利用する者の範囲」について変更することは、原則として認められません。
ただし、次のような場合には、引き続き共同利用ができるとされています(前記ガイドラインp55)。
この点について、前記Q&Aは、次のように回答しています。
前記Q&A pp39-40
「クラウドサービスの利用が、本人の同意が必要な第三者提供(法第23条第1項)又は委託(法第23条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、『本人の同意』を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、『個人データの取扱いの全部又は一部を委託することに伴って……提供される場合』(法第23条第5項第1号)にも該当せず、法第22条に基づきクラウドサービス事業者を監督する義務はありません。」(A5-33)
「クラウドサービスの利用が、法第23条の『提供』に該当しない場合、法第22条に基づく委託先の監督義務は課されませんが……、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。」(A5-34)
受付: 10:00~18:00 / 土日祝を除く