個人情報保護法における個人データの第三者提供に関する規律を取上げます。
第三者提供の制限
個人情報取扱事業者は、原則として、本人の同意なしに、個人データを第三者に提供できません。
個人データを第三者に提供すると、提供後に個人データがどのように流通し、どのように使用されるのかが、不透明になってしまいます。個人データは、他のデータとの結合・照合が容易です。個人データが第三者に提供された場合、個人の権利利益に重大な被害が生じるおそれがあります。
したがって、個人情報保護法は、個人データの第三者提供について、オプトイン方式(事前の本人の同意原則)を採用しています。
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
二 第三者への提供を利用目的とすること。
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得の方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 本人の求めを受け付ける方法
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
3 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
あらかじめ本人の同意を得ないで
個人情報を書面で取得する場合、あらかじめ利用目的を明示する必要があります(個人情報の利用目的の通知・公表参照)。個人データの第三者提供を利用目的とする場合は、その旨を明示した上で、取得段階で第三者提供の同意の有無を確認する必要があります。
同意を得るための方法は、特に定められていません。書面で同意を得るのが望ましいと考えられます。
同意を得るに際しては、①個人データを提供する第三者が誰か?、②第三者に提供する個人データの内容、③個人データの提供を受けた第三者の利用目的を本人に明らかにすることになるでしょう。
第三者へ提供してはならない
個人データの提供が禁止される第三者は、法人・自然人を問いません。また、個人情報取扱事業者かどうかも問いません。
個人情報取扱事業者のグループ会社や連結子会社であっても、原則として第三者に該当します。
なお、弁護士が個人情報取扱事業者の代理人として個人データを利用する場合や公認会計士が監査のために個人情報取扱事業者の個人データを利用する場合は、第三者提供に当たらないと解されます。
適用除外
個人情報を本人の同意なしで取得できる場合と同様に,一定の場合に本人の事前の同意なしに,個人データを第三者に提供することが認められています。
法令に基づく場合
法令上,第三者提供が義務付けられている場合に限らず,第三者提供の根拠が規定されている場合も含むと解されています。
第三者に該当しない場合
個人データを提供する個人情報取扱事業者と密接な関係がある者で,個人情報取扱事業者と一体の者と把握し,第三者提供の制限を課さないことが合理的な場合があります。個人情報保護法は,一定の場合,個人データの移動があっても,第三者提供に当たらない場合を規定しています。
全部又は一部の委託
顧客情報をはじめとする膨大な個人データが集積されている企業において,その情報処理作業を外部に委託することが第三者提供に当たるとすると,情報処理の対象となる個人データの本人の同意を全員から得る必要があります。しかしながら,そのための費用と時間を鑑みると,外部委託は事実上,不可能となり,情報処理効率等を大きく阻害することになります。また,個人情報取扱事業者は,委託先の個人データの安全管理について監督責任を負っています(安全管理措置の話し参照)。
したがって,個人情報取扱事業者が利用目的の達成に必要な範囲で個人データの取扱いを外部委託する場合は,第三者提供に該当しないことにしました。
合併その他の事由による事業の承継に伴って
その他の事由としては,事業譲渡や分社化などです。事業の承継に伴うとは,経営資産の一部として顧客情報等の個人データを承継する場合をいいます。
特定の者との間で共同して利用される個人データ
金融機関が債務の延滞情報を金融機関同士で共有する場合,旅行業界で顧客情報を共有する場合など,企業が取得した個人情報を契約に基づき,特定の他企業との間で,相互に交換し共同利用することが行われています。
このような場合を想定した規定です。共同利用する者の範囲については,共同利用者の範囲が明確であれば,個別列挙する必要はありません。しかし,「○○グループ」や「当社と利用契約を締結した企業」と記載するだけでは,共同利用者の範囲は明確ではないと考えられます。