今回は、プライバシーポリシーの作り方ということで、第三者提供条項について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
第三者提供条項の法的意味
まず法的意味についてですが、第三者提供条項を記載する法的な義務は、実はありません(※オプトアウトの場合など例外はあり)。
ただ、個人データを第三者提供するには原則として本人の同意が必要であるところ(法27条1項)、第三者提供する内容をプライバシーポリシーに記載しておき、これに同意をもらうことによって本人同意を取得するというやり方があり得ます。
この場合は、本人同意を取得するために第三者提供条項を記載しておく必要があります。
なお、こういったやり方が可能であるのは、ガイドラインQ&A7-6~7-9のような解釈があるからです。つまり、個人情報を取得する際に、その時点で予測される第三者提供について包括的に同意を得ておくことも可能であり、また、提供先の第三者を個別に明示することまでは求められていません(ただし、想定される提供先の範囲や属性を示すことが望ましい)。
▽ガイドラインQ&A 7-6~7-9
「あらかじめ」とは、具体的にはいつまでに同意を得る必要がありますか。
当該個人データが第三者へ提供される時点より前までに同意を得る必要があります。
本人から個人情報を取得する際に、同時に第三者提供についての同意を得ることはできるのですか。
法文上、「あらかじめ」と規定されていますが(法第18条第1項、法第27条第1項)、その具体的な時期については限定されていません。したがって、個人情報を取得する際に、同時に、第三者提供をすることについての同意を得ることも可能です。
本人の同意は、個人データの第三者提供に当たってその都度得る必要があるのですか。
必ずしも第三者提供のたびに同意を得なければならないわけではありません。例えば、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
第三者提供の同意を得るに当たり、提供先の氏名又は名称を本人に明示する必要はありますか。
提供先を個別に明示することまでが求められるわけではありません。もっとも、想定される提供先の範囲や属性を示すことは望ましいと考えられます。
契約書や利用規約に記載するやり方
もっとも、実際には、契約書や申込書(その裏に記載されている約款)、あるいはウェブ申込であれば利用規約などについて、そもそも契約成立に関する本人の同意をもらうことになりますので、こういった契約書や利用規約のなかに第三者提供や利用目的を記載し、契約合意に含める形で本人同意を取得しているケースも多いように思います。
これは、プライバシーポリシーに記載して同意を取得するやり方だと、
- そのプラポリが会社やグループ全体のプラポリである場合、大きな単位での話しか書けないので第三者提供の内容が漠然とした書き方にならざるを得なくて記載が難しいとか(※メインサービスが1つとか2つとかの会社であれば問題ない)、
- 契約書や利用規約への同意のほかプラポリにも同意してもらうという2本立ての形式になって(契約成立への同意+プラポリへの同意)、見込み顧客やユーザーへの見せ方として若干重たくなるから、
などであるように思います(管理人の私見)。
第三者提供条項の記載内容
通常の場合
次に、記載内容としては、通常の場合(第三者提供の同意をプライバシーポリシーへの同意で取得しない場合)は、法27条1項の内容をなぞるような内容にしているケースが多いかと思います。
▽法27条1項
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一~七 (略)
例えば、本人の同意を得ない限り第三者提供しません、とか、本人の同意を得た場合に限り第三者提供します、といった表現です。
プライバシーポリシーへの同意で第三者提供の同意を取得する場合
これに対して、第三者提供の同意をプライバシーポリシーへの同意で取得する建付けにする場合は、第三者提供の内容を記載する必要があります。
また、この際、利用目的に第三者提供する旨を記載することも必要になります。
▽通則ガイドライン3-6-1
なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない(3-1-1(利用目的の特定)参照)。
もちろん、契約書や利用規約に記載して第三者提供の同意を取得する場合も、そちらの方に、第三者提供の内容と利用目的を記載する必要があります。
本人の同意
どちらの方法をとるにしても、第三者提供をする場合には、本人同意を取得することが重要になります。
ここで「本人の同意」とは何かというと、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の本人の意思表示、とされています。
▽通則ガイドライン2-16
「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。
また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
本人の同意を得ている事例としては、以下のようなものが挙げられています。
事例1)本人からの同意する旨の口頭による意思表示
事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領
事例3)本人からの同意する旨のメールの受信
事例4)本人による同意する旨の確認欄へのチェック
事例5)本人による同意する旨のホームページ上のボタンのクリック
事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
外国にある第三者に提供する場合の同意
外国にある第三者に提供する場合は、外国にある第三者に提供することへの本人同意が必要になります(法28条1項)。
実際には、プライバシーポリシーでは、括弧書きなどで、外国にある第三者を含む旨の記載を加えたり、続く別の項目として、外国にある第三者への提供に関する項目を設けているようなケースが多いかと思います。
判定方法
外国にある第三者に提供する場合、つまり、法28条の適用場面になる場合、ポイントになるのは、①委託先・事業承継・共同利用の例外(法27条5項)が使えない点と、②参考情報の提供(法28条2項)が必要になる点です。
委託先・事業承継・共同利用の例外が使えない点については、法28条1項後段に「この場合においては、同条(=法27条)の規定は、適用しない」と書かれています
法28条の適用があるかどうかの判定は、まとめると、以下のような感じになります(管理人の整理)。
分類すると、
- 外国提供ガイドラインに解説されている”非該当”にあたるか?
- 法28条1項の括弧書きに定められている”除外”にあたるか?
- ”適用除外事由”にあたるか?
の3種類ですが、結論としては、以下の①~⑤のどれかにあたれば法28条の適用から外れます(=参考情報の提供が不要)。
法28条が適用されない場合
| 分類 | 判定方法 | 帰結 |
|---|---|---|
| 「外国にある第三者」に非該当 (外国提供ガイドライン2-2参照) | ①法人格が同一である場合(「第三者」にあたらない) | 同意不要(法28条も法27条も適用されない) |
| ②国内で個人情報データベースを事業の用に供している場合(「外国にある第三者」にあたらない) | 国内の第三者と同様の扱い(法27条が適用される) | |
| 「外国にある第三者」からの除外 (法28条1項の各括弧書き) | ③外国が認定国である場合(「外国」から除外) | 国内の第三者と同様の扱い(法27条が適用される) |
| ④外国にある第三者が基準適合体制整備者である場合(「外国にある第三者」から除外) | 国内の第三者と同様の扱い(法27条が適用される) ただし、相当措置の継続的な実施を確保するために必要な措置の実施と本人の求めに応じた情報提供が必要(法28条3項) | |
| 本人同意原則の適用除外事由 (法28条1項) | ⑤適用除外事由(法27条1項各号参照)に該当する場合 | 同意を得ずに外国にある第三者に提供可能 |
参考情報の提供(法28条2項)
上記①~⑤のどれにも当たらない場合は法28条の適用場面になりますので、本人同意の取得にあたり参考情報の提供が必要になります。
▽法28条2項
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
提供すべき参考情報の内容は、
- 外国の名称
- 外国の個人情報保護制度に関する情報
- 提供先の第三者が講ずる個人情報保護措置に関する情報
となっています。
条文も確認してみます。
▽規則17条2項
2 法第二十八条第二項又は法第三十一条第一項第二号の規定による情報の提供は、次に掲げる事項について行うものとする。
一 当該外国の名称
二 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
三 当該第三者が講ずる個人情報の保護のための措置に関する情報
1~3号の具体的な内容については、外国提供ガイドラインで詳しく解説されています。
外国の名称(規則17条2項1号)
ここでいう「外国」とは、提供先の第三者が所在する外国の名称をいい、正式名称や州等の名称までは必須ではないとされています。
▽外国提供ガイドライン5-2-⑴
提供先の第三者が所在する外国(※1)の名称をいう(※2)。必ずしも正式名称を求めるものではないが、本人が自己の個人データの移転先を合理的に認識できると考えられる名称でなければならない。
(※2)ここでいう「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められない。もっとも、個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨を踏まえると、例えば、州法が主要な規律となっている等、州法に関する情報提供が本人の予測可能性の向上に資する場合には、本人に対して、提供先の外国にある第三者が所在する州を示した上で、州単位での制度についても情報提供を行うことが望ましい。
外国の個人情報保護制度に関する情報(2号)
外国の個人情報保護制度に関する情報については、我が国の個人情報保護法との間の本質的な差異を、本人が合理的に認識できる情報でなければならず、具体的には以下の観点を踏まえる必要があるとされています。
- その外国における個人情報保護制度の有無
- その外国の個人情報保護制度についての指標となり得る情報の存在
- OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
- その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
外国の個人情報保護制度に関しては個人情報保護員会HPに一定の外国の制度が掲載されていますので、参考情報の提供として、その国の制度情報にリンクを張るという運用がよく行われています。
なので、上記に掲載がある国について(特にアメリカ、中国あたり)は、ひとまずリンクを張る方法によることができます。
掲載がない国については、上記①~④を踏まえて記載を考える必要があります。
観点①:個人情報保護制度の有無
観点①(個人情報保護制度の有無)については、提供先の第三者が所在する外国における制度に、当該第三者に適用される個人情報の保護に関する制度が存在しない場合、そのこと自体が個人データの越境移転に伴うリスクの存在を示すものであることから、個人情報の保護に関する制度が存在しない旨を本人に対して情報提供しなければならない、とされています(外国提供ガイドライン5-2-⑵-②-(ア))。
観点②:指標となる情報の存否
観点②(指標となる情報の存否)については、提供先の第三者が所在する外国の個人情報の保護に関する制度について、個人情報の保護の水準等に関する客観的な指標となり得る情報が存在する場合、その指標となる情報が提供されることにより、個人データの越境移転に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるので、この場合には、その指標となり得る情報を提供すれば足り、観点③に係る情報の提供は求められない、とされています(外国提供ガイドライン5-2-⑵-②-(イ))。
指標となる情報の例としては、
事例1)当該第三者が所在する外国がGDPR第45条に基づく十分性認定の取得国であること
事例2)当該第三者が所在する外国がAPECのCBPRシステムの加盟国であること
が挙げられています。
観点③:OECD8原則に対応する制度内容の不存在
観点③(OECD8原則に対応する制度内容の不存在)が、特にポイントになります。
提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利が存在しない場合には、その事業者の義務又は本人の権利の不存在は、我が国の法(個人情報の保護に関する法律)との本質的な差異を示すものであることから、その内容について本人に情報提供しなければなりません。
なお、提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECDプライバシーガイドライン8原則に対応する事業者の義務及び本人の権利が全て含まれる場合には、その旨を本人に情報提供すれば足りる、とされています(外国提供ガイドライン5-2-⑵-②-(ウ))。
観点④:その他の重大な制度
観点④(その他の重大な制度)については、提供先の第三者が所在する外国において、我が国の制度と比較して、その外国への個人データの越境移転に伴いその個人データに係る本人の権利利益に重大な影響を及ぼす可能性のある制度が存在する場合には、その制度の存在について本人に情報提供しなければならない、とされています(外国提供ガイドライン5-2-⑵-②-(エ))。
そのような制度の例としては、
事例1)事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
事例2)事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度
が挙げられています。
OECD8原則とは
OECD8原則とは、日本を含むOECD(経済協力開発機構)加盟国の個人情報保護法制の基本的な考え方になっているものです(▷参考記事はこちら)。
外国提供ガイドラインには、以下のように記載されています。
▽外国提供ガイドライン5-2-⑵-②-(エ)
(※2)OECD プライバシーガイドラインは、①収集制限の原則(Collection Limitation Principle)、②データ内容の原則(Data Quality Principle)、③目的明確化の原則(Purpose Specification Principle)、④利用制限の原則(Use Limitation Principle)、⑤安全保護措置の原則(Security Safeguards Principle)、⑥公開の原則(Openness Principle)、⑦個人参加の原則(Individual Participation Principle)、⑧責任の原則(Accountability Principle)の8原則を、基本原則として定めている。
提供先の第三者が講ずる個人情報保護措置に関する情報(3号)
提供先の個人情報保護措置についてのポイントは、OECD8原則に対応する措置が講じられているかどうか、です。
講じられていない場合は、その講じられていない内容が、本人に情報提供されなければなりません(全て講じている場合は、その旨の情報提供で足りる)。
▽外国提供ガイドライン5-2-⑶
個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨に鑑み、「当該第三者が講ずる個人情報の保護のための措置に関する情報」は、当該外国にある第三者が講ずる個人情報の保護のための措置と我が国の法(個人情報の保護に関する法律)により個人データの取扱いについて個人情報取扱事業者に求められる措置との間の本質的な差異を本人が合理的に認識できる情報でなければならない。
具体的には、当該外国にある第三者において、OECDプライバシーガイドライン8原則に対応する措置(本人の権利に基づく請求への対応に関する措置を含む。)を講じていない場合には、当該講じていない措置の内容について、本人が合理的に認識できる情報が提供されなければならない。
なお、提供先の外国にある第三者が、OECDプライバシーガイドライン8原則に対応する措置を全て講じている場合には、その旨を本人に情報提供すれば足りる。
例えば、提供先の第三者が利用目的の通知・公表を行っていない場合の記載例として、
事例)「提供先が、概ね個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じているものの、取得した個人情報についての利用目的の通知・公表を行っていない」旨の情報提供を行うこと
といったものが挙げられています(外国提供ガイドライン5-2-⑶)。
本人の同意取得時点で参考情報を特定できない場合の取扱い
外国の名称が特定できない場合(規則17条3項)
本人の同意取得時点で外国の名称が特定できない場合、「外国の名称」と「外国の個人情報保護制度に関する情報」の代わりに、
- 特定できない旨とその理由
- 外国の名称に代わる本人に参考となるべき情報がある場合にはその情報
を提供しなければなりません。
▽施行規則17条3項(※【 】は管理人注)
3 前項の規定にかかわらず、個人情報取扱事業者は、法第二十八条第一項の規定により本人の同意を得ようとする時点において、前項第一号に定める事項【=外国の名称】が特定できない場合には、同号及び同項第二号【=外国の個人情報保護制度に関する情報】に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
一 前項第一号に定める事項【=外国の名称】が特定できない旨及びその理由
二 前項第一号に定める事項【=外国の名称】に代わる本人に参考となるべき情報がある場合には、当該情報
提供先の第三者が講じる個人情報保護措置を提供できない場合(規則17条4項)
また、本人の同意取得時点で、提供先の第三者が講ずる個人情報保護措置に関する情報が提供できない場合、代わりに、
情報提供できない旨とその理由
を提供しなければなりません。
▽施行規則17条4項(※【 】は管理人注)
4 第二項の規定にかかわらず、個人情報取扱事業者は、法第二十八条第一項の規定により本人の同意を得ようとする時点において、第二項第三号に定める事項【=提供先の第三者が講ずる個人情報保護措置に関する情報】について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。
具体的な場面
以上のような取扱いが必要になるのは、例えば、一定の具体的な目的のもとに委託の予定はあるものの、本人の同意を得ようとする時点において委託先が具体的に定まっていない場合です。
▽ガイドラインQ&A 12-14
外国の事業者に対して個人データの取扱いを委託する予定であるものの、法第28条第1項の本人の同意を得ようとする時点において、具体的な委託先が定まっていません。この場合、施行規則第17条第3項の「前項第1号に定める事項が特定できない場合」に該当しますか。また、同条第4項の「第2項第3号に定める事項について情報提供できない場合」に該当しますか。
…(略)…
例えば、一定の具体的な目的のもとに個人データの取扱いを外国にある第三者に委託する予定であるものの、本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が所在する外国が特定できない場合は、施行規則第17条第3項における「前項第1号に定める事項が特定できない場合」に該当し得ると考えられます。この場合であっても、特定できない旨及びその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む。)を情報提供するとともに、提供先の第三者が所在する外国の範囲を特定できる場合の当該範囲に関する情報など、外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報を提供する必要があります(施行規則第17条第3項各号)。
また、同様に本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が特定できず、当該第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合は、施行規則第17条第4項における「第2項第3号に定める事項について情報提供できない場合」に該当し得ると考えられます。この場合であっても、情報提供できない旨及びその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む。)を情報提供する必要があります(施行規則第17条第4項)。
…(略)…
結び
今回は、プライバシーポリシーの作り方ということで、第三者提供条項について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーの作り方に関するその他の記事(≫Read More)
主要法令等・参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています