トップページ  >  連載  >  個人情報保護法5

個人情報保護法

令和4年2月8日

5.個人情報保護法について⑤

前回に続いて、個人情報取扱事業者にどんな義務が課されているのかを見ていきます。今回は、個人情報の提供の場面です。

 

(3)提供の場面

① 事前の同意

個人データを第三者に提供する場合には原則として事前に本人の同意を得る必要があります。

ⅰ)情報通信技術の発達によって個人情報の流通範囲が飛躍的に拡大する中で、本人の意思にかかわりなく個人情報が第三者に提供されれば、予期しないところで個人情報が利用されたり、本人に不測の不利益を及ぼす恐れがあるためという趣旨です。

例外として、①法令に基づく場合(例えば、税務署長に対する法定調書の提出や裁判所の文書提出命令に応じる場合、捜査機関の照会への回答、株主名簿の開示など)や、②生命、身体または財産の保護に必要な場合(例えば、意識不明の本人にかわって血液型や家族の連絡先を医療機関に提供する場合や、災害時に宿泊者の安否確認のために宿泊施設が消防機関等に宿泊者に関する情情報を提供する場合)、③公衆衛生・児童の健全育成に特に必要な場合で本人の同意を得ることが困難な場合(例えば、疫学調査など)、④国、地方公共団体等の事務遂行に協力する必要がある場合で、同意を得ると事務の遂行に支障を及ぼすおそれがある場合(例えば、税務調査に協力する場合など)などがあります。

ⅱ)「第三者」とは、一般に、①当該個人データによって特定される本人、②当該個人データを提供しようとする個人情報取扱事業者以外の者をいい、自然人、法人その他の団体を問いません。例えば、会社の他の部署へ個人データを提供するなど同一事業者内での個人データの提供は第三者提供には該当しません。

ⅲ)同意は、当該個人データが第三者へ提供される時点より前までに得ておく必要があります。本人から個人情報を取得する際に、同時に第三者提供についての同意を得ておくこともできます。

ⅳ)第三者提供の同意を得るに当たり、提供先の氏名又は名称を個別に本人に明示することまでは求められていませんが、想定される提供先の範囲や属性を示すことが望ましいとされています。

ⅴ)第三者提供の対象となるのは個人データです。例えば会社内の行事で撮影した写真を社内で展示する場合などは、本人を識別可能な写真は個人情報には該当しますが、個人データ、つまり個人情報データベース等を構成する個人情報ではないと解されるため、事前に本人の同意なく展示を行うこと自体は問題ありません(但し利用目的の通知および公表は必要です)。

なお、令和2年改正により、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供については、本人同意が得られていること等の確認が義務付けられるようになります(施行は令和4年4月)。

 

② オプトアウト方式による例外

オプトアウト方式による場合には個人データの第三者提供に際して本人の事前の同意は不要です。

ⅰ)オプトアウト方式とは、本人の求めがあれば事後的に個人データの第三者提供を停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度のことです。大量の個人データを広く一般に提供するデータベース事業を念頭に置いており、その事業の有用性を認め、事後的でも本人の意思を反映できる機会を設けるという必要最小限の手続きをとることを特則として認めたものです。

但し、あらかじめ以下の事項を本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会への届出が必要です。

1. 第三者への提供を利用目的にすることと

2. 第三者に提供される個人データの項目

3. 第三者への提供の方法

4. 本人の求めに応じて第三者提供を停止すること

5. 本人の求めを受け付ける方法

 

本人が容易に知り得る状態とは、本人が知ろうとすれば時間的にもその手段においても簡単に知ることができる状態をいいます。具体的には、事務所での掲示・備え付けや、ホームページへの掲載が考えられます。

また、令和2年改正により、オプトアウト方式により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外となります(施行は令和4年4月)。

ⅱ)サービスの提供の申込の際に、申込者から第三者提供について申込書や約款等で包括的に同意を得ながらも、事後的に当該同意の撤回を申し出ることができるようにしている場合は、もともと第三者提供について同意を得ていますので、第三者提供時に本人への通知や個人情報保護委員会への届出は不要です。

ⅲ)要配慮個人情報については、オプトアウト方式による第三者提供は認められません

 

③ 第三者に該当しない場合

以下の場合には、個人データの提供を受ける者は第三者には該当しませんので、提供に当たり本人の同意は必要ありません。

ア 利用目的の達成に必要な範囲内で個人データの取扱いの全部または一部を委託する場合

例えば、データの打ち込みなど情報処理を委託するために個人情報を渡す場合や、お店が注文を受けた商品を発送するために宅配業者に個人情報を渡す場合です。但し、委託元には委託先に対する監督責任が課せられます。

イ 合併その他の事由による事業の承継に伴う場合

例えば、合併や分社化により新会社に顧客情報を渡す場合や、営業譲渡において譲渡先企業に顧客情報を渡す場合です。

ウ グループによる共同利用の場合で、共同利用の旨、共同利用される個人データの項目、共同利用者の範囲、利用目的等を事前に本人に通知等している場合

例えば、旅行業においてグループ企業を通じて移動・宿泊・観光・食事といった総合的なサービスを提供する場合です。

 

(第三者提供の全体のイメージ)

top