今回は、プライバシーポリシーの作り方ということで、共同利用条項について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
共同利用条項の法的意味
共同利用条項の法的意味は、
共同利用の場合、一定の要件の下で本人の同意を得ることなく個人データを提供することができるので、その共同利用の要件を満たすように所定事項をプライバシーポリシーに記載する
という点です。
個人データの第三者提供は、原則として、本人の事前同意を得ることが必要です(法27条1項)。ただし、共同利用の場合、共同利用者は「第三者」に該当しないものとされているので、例外として、本人の同意を得ることなく個人データの提供をすることができるようになっています(法27条5項3号)。
▽本人同意原則(法27条1項)
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一~七 (略)
▽共同利用の場合の例外(法27条5項3号)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、…(略)…について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
「第三者」に該当しない場合としては、①委託先(1号)、②事業承継(2号)、③共同利用(3号)、の3つのパターンがあり、共同利用は、このうち③になります。
共同利用の具体例
共同利用に該当する具体例としては、
事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的(法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合
が挙げられています(通則ガイドライン3-6-3-⑶)。
共同利用の要件
共同利用の要件は、所定事項(上記条文の下線部参照)につき、あらかじめ、本人に通知または本人が容易に知り得る状態に置くことです。
「あらかじめ」とは、共同利用の開始前を指します。
▽ガイドラインQ&A 7-46
共同利用する際に「あらかじめ」本人への通知又は本人が知り得る状態に置く必要がありますが、「あらかじめ」とはいつまでですか。
個人データの共同利用が開始される前を意味します。
また、「容易に知る得る状態」とは、継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいいます。
▽通則ガイドライン3-6-2-1
「本人が容易に知り得る状態」とは、事業所の窓口等への書面の掲示・備付けやホームページへの掲載その他の継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならない(規則第11条第1項第2号)。
【本人が容易に知り得る状態に該当する事例】
事例1)本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合
事例2)本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合
事例3)本人に頒布されている定期刊行物への定期的掲載を行っている場合
事例4)電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合
共同利用条項は、上記のように共同利用の所定事項をプライバシーポリシーに記載することで、「本人が容易に知り得る状態」にしているわけです。
共同利用条項の記載内容
共同利用の所定事項として記載すべき内容は、
- 共同利用をする旨
- 共同利用する個人データの項目
- 共同利用者の範囲
- 共同利用目的
- 共同利用の管理責任者の氏名、名称及び住所 + 法人の場合はその代表者の氏名
となっています。
何を(②)、誰と(③)、どういう目的で(④)、共同利用するのか?また、共同利用の管理責任者は誰か?(⑤)、ということです。
条文も確認してみます。下線部が所定事項になります。
▽法27条5項3号
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
共同利用をする旨
これは、見たまんまで、”共同して利用します”とか、”共同利用を行います”とか、”共同利用します”とか、共同利用することに言及すればよいわけです。
共同利用する個人データの項目
②の「共同して利用される個人データの項目」としては、氏名、住所、電話番号、年齢、商品購入履歴、といったものが例示されています(通則ガイドライン3-6-3-⑶)。
ちなみに、プライバシーマークを取得している事業者は、取得する個人情報の項目をプライバシーポリシーに書いているので、各社のプライバシーポリシーをインターネットでいろいろ見ていれば、大体参考になりそうなものが見つかります。
また、そのように、取得する個人情報の項目を別の条項で書いているときは、それと同様として、引用しているケースが多いかと思います。
共同利用者の範囲
共同利用の趣旨は、本人から見て、提供元の個人情報取扱事業者と一体のものとして取り扱われることに合理性がある範囲で、本人の個別同意を不要として、手続の煩雑さを回避しつつ、本人の権利利益の保護との調和を図る点にあります。
そのため、③の「共同して利用する者の範囲」は、本人からみて、どの事業者まで将来利用されるか判断できる程度に明確にしなければなりません。ただ、個別列挙は必ずしも必要ない場合もあるとされています。
▽通則ガイドライン3-6-3-⑶
「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。
したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。
なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。
では個別列挙が必要ない場合とはどういう場合なのか?というのが気になるところですが、ガイドラインQ&Aでは、共同利用目的条項では外延を示した表現にしつつも、ホームページ上でその個社全てが公表されている、というケースが挙げられています。
▽ガイドラインQ&A 7-45
「共同して利用する者の範囲」として、「必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とのことですが、具体的にはどのような場合が考えられますか。
個別具体的に判断されるものですが、例えば、「当社の子会社及び関連会社」といった表記の場合、当該子会社及び関連会社の全てがホームページ上で公表されている場合等が考えられます。
また、特定分野に関するものではありますが、金融ガイドラインでは、有価証券報告書の記載を指し示す方法(上記と同じような結果をもたらす)が適切な例として挙げられています。
▽金融ガイドライン12条4項
金融分野における個人情報取扱事業者による「共同して利用する者の範囲」の通知等については、共同して利用する者を個別に列挙することが望ましい。また、共同して利用する者の外延を示すことにより本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者を具体的に特定しなければならない。外延を示す具体例としては、
・ 当社及び有価証券報告書等に記載されている、当社の子会社
・ 当社及び有価証券報告書等に記載されている、当社の連結対象会社及び持分法適用会社
といった方法が適切である。
そのため、具体例として挙げられているものは、別の何らかの形で個社全てが判明するようなケースになっており、純粋に共同利用目的条項において外延を示す表現のみで可としている例は、ガイドライン等では見当たりません(逆に、それがダメと明確に書いているわけでもない)。
共同利用目的
上記④の「利用する者の利用目的」は、その利用目的を全て記載しなければなりません。
ちなみに、この共同利用目的は、共同利用時に共通する利用目的をいい、共同利用者の個々の利用目的を列挙するという意味ではないとされています(岡村久道「個人情報保護法」(第4版)331頁参照)。
▽通則ガイドライン3-6-3-⑶
共同して利用する個人データについて、その利用目的を全て、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。
なお、利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載することが望ましい。
上記のように、個人データの項目ごとに利用目的が異なる場合は、個人データの項目ごとに明らかにすることが望ましいとされています(必須ではない)。
これも、プライバシーマークを取得している事業者は、取得する個人情報の項目のところに、項目ごとの利用目的を書いているので、各社のプライバシーポリシーをインターネットでいろいろ見てみれば、大体参考になりそうなものが見つかります。
これもやはり、取得する個人情報の項目のところに項目ごとの利用目的を書いている場合、共同利用目的も、それを引用しているケースが多いかと思います。
共同利用の管理責任者
上記⑤の、共同利用する個人データの管理について「責任を有する者」とは、共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者のことです。
個人事業者の場合は、個人の氏名と住所を記載し、法人事業者の場合は、法人の名称と住所+代表者の氏名を記載します。
事業者内部でいわゆる”責任者”とされている、いち役職員のことを指すのではありません。
▽通則ガイドライン3-6-3-⑶
「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。
なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。
なお、管理責任者を複数とすることもできますが、その場合は、それとわかるよう明記する必要があります。
▽ガイドラインQ&A 7-49
各共同利用者を「責任を有する者」とし、それぞれが開示等の請求等や苦情を受け付けることとすることはできますか。
可能ですが、法第27条第5項第3号の規定に基づき、各共同利用者を「責任を有する者」としていることが明確にされていることが必要です。
記載内容の変更
上記④の共同利用目的と、上記⑤の管理責任者については、あらかじめ通知等の措置を行うことによって、変更することができます(法27条6項。「あらかじめ」の部分参照)。
これに対して、上記②の個人データの項目と、上記③の共同利用者の範囲については、以下に記載がないように、変更不可、つまり変更には本人の事前同意が必要となります。
▽法27条6項
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
つまり、簡略化しつつポイントごとに分けると、
- 個人情報取扱事業者は、
- 管理責任者の氏名・名称・住所又は法人の場合は代表者の氏名に変更があったときは遅滞なく、
- 共同利用目的又は管理責任者を変更しようとするときはあらかじめ、
- その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない
のようになっています。
管理責任者について単に名称変更や住所移転があるにすぎない場合と、法人の代表者の氏名の変更の場合も、通知等の措置を行う義務がありますが、これらは事後でも足ります(「遅滞なく」の部分参照)。
共同利用か委託か
共同利用者の範囲に委託先事業者が含まれている場合、委託先との関係も共同利用となるとして、委託元はその委託先の監督義務(法25条)を免れることができるか?という論点があります。
この点については、共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に含まれるという理由で委託先との関係が共同利用となるわけではない、とされています。
▽通則ガイドライン3-6-3-⑶
(※5)共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。
これは、個人データの取扱いの内容によって客観的に判断される、という意味になります。
つまり、委託においては、委託先が委託元の利用目的に拘束されるのに対して、共同利用においては、共同利用者は共同利用目的に拘束されるという性質の違いがあるので、共同利用の形式を整えた場合であっても、共同利用者の一部に「提供先(委託先)が提供元(委託元)の利用目的に拘束される」という関係が成立する場合には、委託としての性質を失わない、ということです(石井夏生利、曽我部真裕、森亮二「個人情報保護法コンメンタール」309頁参照)。
結び
今回は、プライバシーポリシーの作り方ということで、共同利用条項について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーに関するその他の記事
主要法令等・参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています