御社の技術とブランド、そして事業を守ります

イノベンティア・コラム - 個人情報保護法の基礎知識 (7)

  • HOME »
  • イノベンティア・コラム - 個人情報保護法の基礎知識 (7)

個人情報保護法の基礎知識 (7) – 個人データの提供

投稿日 : 2023年9月19日|最終更新日時 : 2023年9月19日| 秦野真衣

個人データを保有する事業者としては、その利用にあたり、これを第三者に提供することも想定されます。名簿業者のように、販売によって利益を得る場合のみならず、共同で事業を行う場合の協力会社との情報共有や、取引先に対する担当者情報の提供なども、基本的には個人データの提供にあたります。本稿では、個人データの提供における規制についてみていきます。
 
 

個人データの提供

個人データの第三者提供にあたっては、基本的に、あらかじめ本人の同意が必要となります(なお、第三者が海外の場合はまた別の枠組みとなりますが、本項では国内であることを前提とします。)。取得時に第三者提供についての同意を既に得ている場合はともかく、そうでない場合は、個人データの本人から改めて同意を取得しなければなりません。

なお、この第三者提供の規制の対象となるのは、あくまで「個人データ」であり、個人情報の提供については対象になりません。

個人情報と個人データの違いについては、5.取得した個人情報・個人データの管理を参照していただければと思います。

なお、法律上、個人データの提供、というのは、個人データ等を、自己以外の者が利用可能な状態に置くこと(通則ガイドライン2-17)とされています。SDカードやメールの添付によって個人データを渡す場合などが典型的な「提供」にあたりますが、例えば、いわゆるクラウドサービスを利用する場合については、そもそも「提供」と言えるのか、といった問題も生じえます。

この点について、個人情報保護法ガイドラインQAは、クラウドサービスの利用が「提供」にあたるかどうかについて、クラウドサービス側で「個人データを取り扱わないこととなっている場合」かどうかで判断するとしています。これは、クラウドサービス側で個人データの触れることがない場合については、自社サーバで管理している場合と状況としては変わらないため、「提供」にあたらないという趣旨であると思われます。

では、この「個人データを取り扱わないこととなっている場合」とは具体的にどういう場合なのかと言いますと、個人情報取扱事業者との契約条項によって当該提供事業者がそのサーバに保存された当該個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等、とされており(同QA)、クラウドサービスの利用規約を確認することで判断することとなります。

個人データの取扱の「委託」に伴う提供

第三者提供の規制については、法律上いくつかの例外がありますが、そのうち、最もよく用いられているのが個人データの取扱の「委託」に伴う提供の枠組みです。この場合は、本人の同意は不要とされています。

委託に伴う提供とは、利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合をいい、例えば、従業員の労務データの処理を外部業者に委託する場合や、顧客データの分析をマーケティング業者に委託する場合などが考えられます。また、クラウドサービスの利用についても、上記で「提供」にあたる場合であっても、委託に伴う提供に該当し、結論としては同意が不要となる場合が多いと思われます(なお、海外のクラウドサービスについては、委託であっても同意が必要ですので、注意が必要です。)。

ただし、5.取得した個人情報・個人データの管理で見た通り、委託元は委託先に対する監督義務を負うという点には注意が必要です。適切な委託先の選定、委託契約の締結、監査などが、個別の事案に応じて必要な範囲で要求され、委託先で漏えい等の事故があった場合には、監督責任が問われることになります。

また、委託先での汎用的な業務改善など、委託先が委託目的の範囲を超えて個人情報を使ってしまっている場合もありえます。この場合は、第三者提供とみなされ、同意が必要となりますので注意が必要です。

個人データの「共同利用」

共同利用というのは、本人から見て、提供先の事業者と一体のものとして扱われることが合理的とみられる範囲で、個人データを共同して利用する場合をいい、典型的な例としては、グループ会社での共同利用などが考えられます。

共同利用を用いるには、あらかじめ、ウェブサイト等において、法定の事項、例えば共同利用の範囲や利用目的などを、あらかじめ公表しておくこととなりますが、本人の同意については不要とされています。

ただし、共同利用が認められるのは、個人データを共同して利用する者の全体が一つの取扱事業者と同じであると本人がとらえることができる場合のみであるとされており、共同利用者の範囲についてどこまでの範囲を設定することが可能かは実は曖昧です。そのため、子会社・グループ会社で用いられることがほとんどではないかと思います。

本記事に関するお問い合わせはこちらから

(文責・秦野)

 


PAGETOP
Copyright © Innoventier All Rights Reserved.
Powered by WordPress & BizVektor Theme by Vektor,Inc. technology.