個人データの第三者提供
個人情報保護法における個人データの第三者提供に関する規律を取上げます。
第三者提供の制限
個人情報取扱事業者は,原則として,本人の同意なしに,個人データを第三者に提供できません。
個人データを第三者に提供すると,提供後に個人データがどのように流通し,どのように使用されるのかが,不透明になってしまいます。個人データは,他のデータとの結合・照合が容易です。個人データが第三者に提供された場合,個人の権利利益に重大な被害が生じるおそれがあります。
したがって,個人情報保護法は,個人データの第三者提供について,オプトイン方式(事前の本人の同意原則)を採用しています。
個人情報保護法23条
1 個人情報取扱事業者は,次に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。
①法令に基づく場合
②人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。
④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
5 次に掲げる場合において,当該個人データの提供を受ける者は,前各項の規定の適用については,第三者に該当しないものとする。
①個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
②合併その他の事由による事業の承継に伴って個人データが提供される場合
③特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって,その旨並びに共同して利用される個人データの項目,共同して利用する者の範囲,利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は,前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は,変更する内容について,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置かなければならない。
あらかじめ本人の同意を得ないで
個人情報を書面で取得する場合,あらかじめ利用目的を明示する必要があります(個人情報の利用目的の通知・公表参照)。個人データの第三者提供を利用目的とする場合は,その旨を明示した上で,取得段階で第三者提供の同意の有無を確認する必要があります。
同意を得るための方法は,特に定められていません。書面で同意を得るのが望ましいと考えられます。
同意を得るに際しては,①個人データを提供する第三者が誰か?,②第三者に提供する個人データの内容,③個人データの提供を受けた第三者の利用目的を本人に明らかにすることになるでしょう。
第三者へ提供してはならない
個人データの提供が禁止される第三者は,法人・自然人を問いません。また,個人情報取扱事業者かどうかも問いません。
個人情報取扱事業者のグループ会社や連結子会社であっても,原則として第三者に該当します。
なお,弁護士が個人情報取扱事業者の代理人として個人データを利用する場合や公認会計士が監査のために個人情報取扱事業者の個人データを利用する場合は,第三者提供に当たらないと解されます。
適用除外
個人情報を本人の同意なしで取得できる場合と同様に,一定の場合に本人の事前の同意なしに,個人データを第三者に提供することが認められています。
法令に基づく場合
法令上,第三者提供が義務付けられている場合に限らず,第三者提供の根拠が規定されている場合も含むと解されています。
第三者に該当しない場合
個人データを提供する個人情報取扱事業者と密接な関係がある者で,個人情報取扱事業者と一体の者と把握し,第三者提供の制限を課さないことが合理的な場合があります。個人情報保護法は,一定の場合,個人データの移動があっても,第三者提供に当たらない場合を規定しています。
全部又は一部の委託
顧客情報をはじめとする膨大な個人データが集積されている企業において,その情報処理作業を外部に委託することが第三者提供に当たるとすると,情報処理の対象となる個人データの本人の同意を全員から得る必要があります。しかしながら,そのための費用と時間を鑑みると,外部委託は事実上,不可能となり,情報処理効率等を大きく阻害することになります。また,個人情報取扱事業者は,委託先の個人データの安全管理について監督責任を負っています(安全管理措置の話し参照)。
したがって,個人情報取扱事業者が利用目的の達成に必要な範囲で個人データの取扱いを外部委託する場合は,第三者提供に該当しないことにしました。
合併その他の事由による事業の承継に伴って
その他の事由としては,事業譲渡や分社化などです。事業の承継に伴うとは,経営資産の一部として顧客情報等の個人データを承継する場合をいいます。
特定の者との間で共同して利用される個人データ
金融機関が債務の延滞情報を金融機関同士で共有する場合,旅行業界で顧客情報を共有する場合など,企業が取得した個人情報を契約に基づき,特定の他企業との間で,相互に交換し共同利用することが行われています。
このような場合を想定した規定です。共同利用する者の範囲については,共同利用者の範囲が明確であれば,個別列挙する必要はありません。しかし,「○○グループ」や「当社と利用契約を締結した企業」と記載するだけでは,共同利用者の範囲は明確ではないと考えられます。