今回は、個人情報保護法を勉強しようということで、個人データに関する義務のうち第三者提供の制限について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
第三者提供の制限(法27条1項)
個人情報取扱事業者は、個人データを第三者提供するには、あらかじめ本人の同意を得なければならない(法27条1項)。
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一~七 (略)
許諾することを本人が決定するので、「オプトイン」方式とも呼ぶ。
「オプトイン」とか「オプトアウト」とかいう言葉が出てきますが、これらはそれぞれ英語の“opt in”と“opt out”を語源としています。
“opt”は動詞で、“選ぶ”とか“決める”という意味です。 “in”と“out”は、“入る”“出る”という意味ですが、法制との関係では、”許諾する””許諾しない”という意味でイメージしておけばよいかと思います。
▷参考サイト:オプトインとは - 意味をわかりやすく|IT用語辞典 e-Words
第三者
「第三者」とは、提供元である個人情報取扱事業者及び本人以外の者をいう(ガイドラインQ&A7-1参照)。
第三者になるかどうかは、提供元である個人情報取扱事業者と法人格が同一かどうかで判断すればよい。通則ガイドライン3-6-1では、以下のような例が挙げられている。
| 第三者提供とされる事例 | 第三者提供とされない事例 |
|---|---|
| ・親子兄弟会社、グループ会社の間で個人データを交換する場合 ・フランチャイズ組織の本部と加盟店の間で個人データを交換する場合 ・同業者間で、特定の個人データを交換する場合 | ・同一事業者内で他部門へ個人データを提供する場合 |
上記の第三者提供とされている事例では、法人格は別々であるが、第三者提供とされていない事例では、法人格は同一である(同一の法人格のなかでの部門間のやり取りになっている)。
提供
ここでいう「提供」とは、個人データを自己以外の者が利用可能な状態に置くことをいう。
個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば(利用する権限が与えられていれば)、「提供」にあたる(通則ガイドライン2-17)。
ただし、クラウドサービスのように、外部の事業者を活用している場合であっても、そのクラウドサービス事業者が個人データを取り扱わないこととなっている場合には、「提供」に該当しないとされている。そのため、この場合には、本人の同意を得る必要はないし、委託先の監督義務(法25条)も負わない。
▽ガイドラインQ&A7-53
個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システ ムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人デ ータを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第27条第5項第1号)しているものとして、法第25条に基づきクラウドサービス事業者を監督する必要がありますか。
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。…(略)…
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。…(略)…
本人の同意
同意の取得にあたっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならないとされている(通則ガイドライン3-6-1)。
同意は包括的なものでも足り、また、提供先である第三者を具体的に明示することまでは要しない。
▽ガイドラインQ&A7-8、7-9
本人の同意は、個人データの第三者提供に当たってその都度得る必要がある のですか。
必ずしも第三者提供のたびに同意を得なければならないわけではありません。例えば、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
第三者提供の同意を得るに当たり、提供先の氏名又は名称を本人に明示する必要はありますか。
提供先を個別に明示することまでが求められるわけではありません。もっとも、想定される提供先の範囲や属性を示すことは望ましいと考えられます。
本人の同意を要しない場合
ただし、一定の場合には、本人の同意がなくても個人データを第三者提供できることとされており、
- 適用除外の場合
- オプトアウト(本人の求めによる提供停止)による第三者提供の場合
- 第三者に該当しない場合
の3つがある。
以下、順に見てみる。
適用除外事由(1項各号)
まず、第三者提供の制限に関する適用除外事由がある(法27条1項各号)。
以下のように1号~7号までがあり、これらの場合は、個人データを第三者提供する場合であっても、本人の事前同意は不要となる。
これは、本人の同意を要求することにより保護される本人の権利利益よりも、情報が提供されることで守られる権利利益の方が上回るという利益衡量の観点から認められているものである。
なお、目的外利用についての適用除外事由の場合(法18条3項)と、内容はほぼ同じである。
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
オプトアウトによる第三者提供(2項)
通知・公表及び個人情報保護委員会への届出
個人情報取扱事業者は、本人の求めに応じて個人データの第三者提供を停止することとしていて(オプトアウト)、一定の要件を満たす場合には、本人の事前同意を得ずに、個人データを第三者提供することができる。
これは、個人データの有用性の観点から認められているものである。例えば、住宅地図業者(表札や郵便受けを調べて住宅地図を作成・販売)やデータベース事業者(ダイレクトメール用の名簿等を作成・販売)が、本項に基づいて事業を行っている。
一定の要件としては、以下の1号~8号の事項を本人に通知するか本人が容易に知り得る状態に置くこと、及び、個人情報保護委員会に届出を行うことが求められている。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、…(略)…。
一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(…略…)の氏名
二 第三者への提供を利用目的とすること。
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得の方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 本人の求めを受け付ける方法
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
所定事項の変更・停止
これらの事項を変更したり、オプトアウトによる第三者提供自体を停止する場合も、事前または事後に同様の手続が必要である(3項)。
3 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
個人情報保護委員会による公表
これらの届出(新規・変更・提供停止)に係る事項は、個人情報保護委員会により公表されることになっている(4項)。
具体的には、以下のページに掲載されている。
▷オプトアウト届出書検索(改正個人情報保護法)|個人情報保護委員会HP
4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
第三者に該当しない場合(5項)
形式的には第三者に該当する場合であっても、提供元となる個人情報取扱事業者と密接な関係にあって、その個人情報取扱事業者と一体の者と捉えることに合理性がある場合は、「第三者」に該当しないものとされている(その結果、当然、個人データを提供しても「第三者提供」に該当しないことになる)。
「第三者」に該当しない場合には、①委託の場合、②事業承継による場合、③共同利用の場合、の3つがある。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一~三 (略)
委託の場合(1号)
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
利用目的の達成に必要な範囲内において、個人データの取扱いの委託に伴って個人データを提供する場合、提供先は「第三者」に該当しない。
ただし、委託先に対する監督義務がある(法25条)。
委託の具体例としては、例えば、
- データの打ち込み等、情報処理を委託するために個人データを提供する場合
- 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合
が挙げられている(通則ガイドライン3-6-3)。
事業承継による場合(2号)
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
合併、会社分割、事業譲渡等による事業の承継に伴って個人データが提供される場合、提供先は「第三者」に該当しない。
また、事業の承継のための契約締結前の交渉段階で、相手会社から自社の調査を受け、自社の個人データを相手会社へ提供する場合も、本号に該当する。ただし、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない、とされている(通則ガイドライン3-6-3)。
事業承継の実行より手前の段階(デューデリジェンスの段階)でも、本号により本人の同意を得ることなく個人データを提供できるけれども、NDA(秘密保持契約)なりLOI(基本合意書)なりで安全管理のための適切な契約をしておく必要はある、ということです。
共同利用の場合(3号)
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
特定の者との間で共同して利用される個人データをその者に提供する場合で、所定事項をあらかじめ本人に通知または本人が容易に知り得る状態に置いているときは、提供先は「第三者」に該当しない。
本人への通知等が必要な所定事項は、以下のとおりである。
- 共同利用をする旨
- 共同して利用される個人データの項目
(ex1)氏名、住所、電話番号、年齢 (ex2)氏名、商品購入履歴 - 共同して利用する者の範囲
共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。 - 利用する者の利用目的
共同して利用する個人データについて、その利用目的を全て、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。 - 当該個人データの管理について責任を有する者の氏名、名称及び住所+法人の場合はその代表者の氏名
上記⑤の「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。
これら所定事項の変更については、上記④と⑤は、事前または事後に同様の手続で変更できるが(6項)、それ以外については、改めて本人の事前同意を得る必要がある(※事業者の単なる名称変更や事業承継の場合は除く)。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
なお、共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。
結び
今回は、個人情報保護法を勉強しようということで、個人データに関する義務のうち第三者提供の制限について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)