
はじめに
2017年に改正個人情報保護法が施行されましたね。
改正のポイントは色々とありますが、ユーザーの個人情報を管理する事業者にとって非常に重要な改正ポイントが「個人情報(個人データ)の第三者提供時のルール」になります。
これは文字どおり、事業者が保管する個人情報(個人データ)を、その事業者以外の第三者に提供するときに守らなければならないルールです。
2017年個人情報保護法改正では、個人データの第三者提供について新たに以下の2点の義務が課されました。
- 個人情報(個人データ)についての一定の事項を記録すること
- その記録を一定期間保管すること
実際に個人データの第三者提供をする事業者は、新しく導入されたものも含め、たくさんの細かいルールを必ず守らなければいけません。
でもこれを自分で勉強するのはなかなか大変だし、わざわざセミナーなどに参加するのも面倒ですよね・・・。
そこで今回は、個人情報保護法のうち第三者提供に関する事項をメインに、その内容や改正のポイント、具体的な提供方法などを分かりやすく解説していきたいと思います。
※個人情報保護法改正の概要だけをさっと知りたい方は、「2017年個人情報保護法改正の概要とは?4つのポイントを徹底解説」をご覧ください。
目次
1 個人情報・個人データとは
「個人情報」とは、以下のどちらかにあてはまるものをいいます。
- 生きている個人に関する情報で、その情報に含まれる氏名・年齢・生年月日やその他の記述によって特定の個人を識別できるもの
- 生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別することができるもの
具体的には、人の氏名(①)や、顧客名簿と紐づけられた販売リスト(②)などがあります。
「第三者提供」をするときに規制の対象となるのは、個人情報のうち「個人データ」に関する部分です。
少しわかりづらいかもしれませんが、以下の図を見ながら解説を読んでみてください。
図のように、個人情報の中に個人データが含まれているというイメージでオッケーです。
まず、「個人情報」とは、上で説明したとおり①または②にあてはまるものをいいます。
このうち、個人情報をデータ化してパソコンで管理したり、名簿にしたものを「個人データ」といいます。
要するに、個人情報を整理して、すぐに探し出せるような状態にしたもののことをいいます。
例えば、貰った名刺をポイっとひとまとめに袋に入れていたような場合、その名刺はただの「個人情報」です。
一方、名刺に書いてある会社名や氏名・連絡先などをデータ化してリストにしたり、名簿を作成した場合には、それは「個人データ」になります。
一般的に事業者は、個人情報をすべてデータ化して管理していることが多いので、事業者のほとんどが「個人データ」を保管していることになりますね。
ちなみに、個人データよりもさらに狭い概念として「保有個人データ」というものがあります。
「保有個人データ」とは、本人から削除・開示・訂正などを求められた場合にはそれに応じなければならないものをいいます。
以上より、第三者提供時に規制の対象となるのは保有個人データを含む「個人データ」ということになります。
それでは次の項目で、「第三者提供」の中身についてみていきましょう。
2 第三者提供とは
「第三者提供」とは、事業者が保有する個人データをその事業者以外の者に提供することをいいます。
第三者提供は、原則として、本人の同意がない限りできないというルールになっています。
事業者が自分の知らないところで自由に個人情報をやり取りできるとしたら、自分の個人情報が誰にどのように使われるのか分からず、私たちはとても不安な気持ちになりますよね。
そのため、あらかじめ本人から同意を得た場合にのみ個人情報の第三者提供を認めることで、私たちの権利や利益を守っているのです。
この仕組みを「オプトイン」といいます。
ここでいう「第三者」とは、その個人情報の持ち主である本人と、その個人情報を取り扱う事業者以外のすべての人(事業者)をさします。
他の事業者はもちろん、グループ会社や子会社などに個人情報を提供する場合にも、それは「第三者」提供にあたるため、本人の同意を得なければなりません。
一方、同じ会社の他部署に個人情報を提供する場合には、右側のポケットに入れたものを左ポケットに移しただけで、実質的には情報の移動がないので、「第三者」提供にはあたらず、本人の同意は必要ありません。
次に、「提供」とは、個人情報を、自分(事業者)以外の者が自由に閲覧・利用することができる状態に置くことをいいます。
個人情報が紙媒体に載せられていなくても、インターネット上で自由に閲覧できる状態などは「提供」にあたります。
また、個人情報を掲示板に張り出すような場合も、自分(事業者)以外の者が閲覧し、それを利用することができるため、「提供」にあてはまります。
ただし、以下の3つのケースは「第三者」提供にあたらないため、本人の同意を得なくても個人情報を提供することができます。
- 委託先へ提供する場合
- 共同利用をする場合
- 事業承継をする場合
形式的には第三者提供に見えるのですが、実質的には提供元と提供先を同一視することができるため、提供先を「第三者」とはみなさないのです。
それでは順番にみていきましょう。
(1)委託先への提供
「委託」とは、自分の会社の業務を他社にお願いすることをいいますが、業務に必要な個人情報を委託先に提供する場合には、第三者提供にあたらず、本人の同意なく個人情報の提供をすることができます。
例えば、通販サイトで注文を受けた商品の配送をするために、宅配業者にお客さんの住所や名前を提供する場合です。
なぜなら、提供先(宅配業者)は提供元(通販サイト運営者)のために住所などの個人情報を利用するだけで、それを他の新たな事業やビジネスに利用する目的はないため、もはや提供元が自ら個人情報を利用しているのと変わらないからです。
ただし、委託する場合、委託元には「委託先を監督する義務」が課せられます。
「監督」とは、以下の2点をさします。
- 適切な委託先を選定すること
- 委託先がきちんと個人情報を管理しているかどうかを把握すること
このように、個人データの提供が「第三者提供」にあたらず「委託」にあたる場合でも、個人情報保護法の別の角度から義務が発生することを把握しておく必要があります。
(2)個人データの共同利用
「個人データの共同利用」とは、文字どおり個人データを複数の事業者が利用したり管理することをいいます。
例えば、グループ会社内で緊急連絡先を作るために社員の連絡先を共有するような場合です。
共同利用の場合には、あらかじめ以下の5点について本人に通知するか、本人が簡単に知ることができる状態にしておくことで、本人の同意を得なくても個人データの提供をすることができるようになります。
- 共同利用をする旨
- 共同利用する個人データの項目
- 共同利用者の範囲
- 共同利用する個人データの利用目的
- 個人データを管理する責任者の名前(法人の場合は法人名)
こうすることで、本人からすれば自分の個人データを知らない人に勝手に使われてしまう、という心配がなくなるからです。
当然、上の5点についてきちんと通知などをしていない場合には、本人の許可なく個人データの共同利用をすることはできません。
(3)事業承継による提供
「事業承継」とは、合併や分社化・事業譲渡などによって事業が別の会社に引き継がれることをいいます。
事業承継の場合、個人データを利用して行う事業自体が移転するので、それに伴って個人データも移転するのが自然だと考えられます。
そのため、移転先は「第三者」とはみなされず、移転元から移転先への個人情報の提供は「第三者提供」にはあたりません。
ただし、移転先での個人データの利用範囲については、移転元で利用していた範囲に限定されます。
そのため、元の利用範囲外で個人データを利用したい場合には、あらためて本人の同意を得る必要があります。
以上の3つは個人データの提供先が「第三者」とみなされないため、「第三者提供」にあたらず、本人の同意がなくても個人データの提供をすることができるケースでした。
それでは次に、「第三者提供にあたるものの、例外的に本人の同意なく個人データを提供できる場合」を確認していきましょう。
3 同意がなくても第三者提供ができる場合
個人情報の提供する先が「第三者」の場合であっても、「本人の同意なしに個人データの第三者提供ができる場合」には、以下の2つがあります。
- 個人データの第三者提供について、本人の同意を求めるのが不合理な場合
- オプトアウトの手続きをとっている場合
それでは順番にみていきましょう。
(1)同意を求めるのが不合理な場合
本来であれば、個人データの第三者提供する場合には本人の同意が必要でしたね。
でも、どんな場合でもいちいち本人の同意が必要だとすると、実際には不都合な場合もたくさんあります。
そのため、例外として、一定の場合には本人の同意なしに個人データの第三者提供をすることが認められています。
具体的には以下のような場合です。
- 法令に基づく場合
- 人の生命・身体・財産の保護のために必要がある場合で、本人の同意を得ることが困難なとき
- 公衆衛生の向上や児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難なとき
- 国の機関や地方公共団体(またはその委託を受けた者)が法令の定める事務を遂行することに対して協力する必要がある場合で、本人の同意を得るとその事務の遂行に支障をきたす恐れがあるとき
例)プロバイダ責任法に基づいてプロバイダが発信者情報を開示する場合
例)災害時などに、意識不明の本人の血液型や家族への連絡先を医師や看護師に伝える場合
例)児童虐待の防止のために学校や警察、児童相談所などで該当児童の情報を共有する場合
例)税務調査に協力する場合
(2)オプトアウトの場合
すでに解説したとおり、個人データを第三者に提供するためにはあらかじめ本人の同意を得る必要があり、これを「オプトイン」といいましたね。
オプトインの場合には、
- 原則:同意がないと第三者提供できない
- 例外:同意がなくても第三者提供できる
というスタンスになっていました。
これに対し、オプトインの原則と例外を反対にしたスタンスとして「オプトアウト」という考え方があります。
「オプトアウト」とは、一定の要件と前提のもとで、原則的に本人の同意がなくても個人データの第三者提供ができるとしつつ、本人からクレームが入った場合に限り提供できなるくなるしくみをいいます。
オプトアウトの場合には、
- 原則:同意がなくても第三者提供できる
- 例外:同意がないと第三者提供できない
というスタンスなわけです。
具体的には、個人データを第三者提供すること(+それが嫌ならすみやかに個人データの提供を中止するよう求める必要があること)を前もって本人に通知するか、本人が簡単に知ることができる状態にしておき、本人がこれに反対しない限り同意したものとみなして第三者提供を認める仕組みとなっています。
ただし、今までのオプトアウトの制度では、「本人が簡単に知ることができる状態」がとても曖昧で、事業者の解釈にゆだねられていたのが実情でした。
そのため、この曖昧さを利用した悪質な業者は、実際には本人が簡単に気づけないような方法で第三者提供をすることを通知するなど、姑息なことをして、本人の知らないところで個人データのやり取りがなされているという実態がありました。
その後「ベネッセ個人情報流出事件」が起きたことと相まって、2017年個人情報保護法改正により、オプトアウトができる要件を厳格化することになりました。
オプトアウトによって第三者提供をするときの要件は、以下の2点になります。
- 本人からの求めに応じて個人データの第三者提供を停止すること
- 次の事をあらかじめ本人に通知するか、本人が簡単に知ることができる状態にしておくこと
- ⅰ~ⅴまでの事項について個人情報保護委員会に届出をすること
ⅰ個人データの第三者提供を利用目的とすること
ⅱ第三者に提供される個人データの項目
例)氏名・住所・電話番号・年齢など
ⅲ第三者への提供方法
例)インターネット掲載・書類にして渡す・書籍として出版など
ⅳ本人の求めに応じて個人データの第三者提供を停止すること
ⅴ本人の求めを受け付ける方法
例)電話・メール・郵送など
①の「あらかじめ」とは、個人データが第三者提供される前にこれの停止を求めることができる程度の期間をいいます。
②の「本人が簡単に知ることができる状態」とは、以下のような場合があります。
- ホームページのトップページから1回程度の操作で到達できるページに継続的に継続的に掲載すること
- 事業者の事務所窓口などの本人が来所することが予想できる場所に継続的に掲示すること
- 事業者の商品を紹介するホームページにリンクを継続的に表示すること
また、今までのオプトアウト制度の問題点であった「本人が簡単に知ることができる状態にすること」について、以下のような具体的な方法が明示されました。
-
ⅰ)本人が、個人データの提供の停止を求めるのに必要な期間をおくこと
ⅱ)本人が、所定の事項を確実に認識できる適切かつ合理的な方法によること
ⅱ)の「所定の事項」とは、上の②で挙げた5つをさします。
③で届出られた内容については、事業者名と一緒に個人情報保護委員会のホームページなどで公表されるため、本人からすると、どの事業者がオプトアウトの手続きをとっているのかが確認しやすくなります。
第三者提供の要件については個人情報保護委員会の「個人情報の保護に関するガイドライン」もご参照ください。
4 第三者提供する場合の取扱いのルール
次に、企業が実際に個人データを第三者提供するときの、個人データの取り扱い方・ルールについて説明します。
まず、第三者提供に関しては、トレーサビリティ(追跡可能性)を確保する観点から、個人データを提供する側と受け取る側のそれぞれに、個人データの取扱いに関する義務を課しています。
「トレーサビリティ」とは、個人データが企業から他の企業に提供された場合に、その流通経路を後からトレースできる状態をいいます。
トレーサビリティの視点を導入した背景には、不正に持ち出された個人情報が複数の名簿業者に売られ、そこからまた転々と個人情報が流出してしまったベネッセ個人情報流出事件が大きな社会問題となったことなどが挙げられます。
今までの制度では、第三者提供をする場合に、個人データの取得元を明かす必要はなく、受け取る側もそれが適正な方法で取得されたものかを確認する必要はありませんでした。
そのため、個人データが流出してしまっても何故そうなってしまったのか、どこから流出してしまったのかを明らかにすることとても困難でした。
このような事情もあり、個人情報の流通を防ぎつつ、仮に不正に流出してしまった場合に個人情報がどのような経路をたどったのかをたどることができるように、トレーサビリティを確保する制度ができたのです。
以下では、個人データを提供する側と受け取る側に分けて、第三者提供する場合の個人データの取扱いルールを解説していきます。
(1)個人データを提供する側のルール
個人データを提供する事業者は、その個人データを提供した年月日や提供先の氏名などの一定の事項に関する記録を作成して、これを一定期間(通常は3年間)保存する義務があります。
記録しなければならない事項は以下のとおりです。
-
【オプトアウト手続きによって個人データを第三者提供するとき】
- 個人データを提供した年月日
- 提供先の氏名または名称、その他提供先を特定することができる程度の事項(不特定多数に提供した場合にはその旨)
- 個人データによって識別される本人の氏名その他本人を特定することができる程度の事項
- 提供する個人データに含まれる項目(住所・氏名・電話番号など)
-
【本人の同意を得て個人データを第三者提供した場合】
- 本人の同意を得ている旨
- 提供先の氏名または名称、その他提供先を特定することができる程度の事項(不特定多数に提供した場合にはその旨)
- 個人データによって識別される本人の氏名その他本人を特定することができる程度の事項
- 提供する個人データに含まれる項目(住所・氏名・電話番号など)
これらの記録を残しておくことで、もし個人データが流出してしまった場合でも記録を調べることで個人データの流通経路を簡単にたどることができるようになり、情報の漏えい元や流出先を特定しやすくなりました。
記録は、文書かデータ、マイクロフィルムのどれかで作成します。
また、トレーサビリティを確実に確保するため、個人データを受け取る側から提供元の身元や個人データ取得の経緯について確認を求められた場合には、ウソをついたりごまかしたりしてはいけません。
(2)個人データを受け取る側のルール
個人データを受け取る側は、まず、以下の点について提供元に確認しなければなりません。
- 提供元の氏名または名称(法人の場合は代表者の氏名)
- 提供元の住所
- 提供元が個人データを取得した時の経緯
不正に取得された個人データと知りながらそれを取得した場合、情報を受取った側も個人情報保護法違反となってしまいます。
そのため、受領者がこれらの項目を確認することによって、もし不正に取得された個人データだった場合には、受領者としてはそれを受取らないはずなので、個人データが転々と流出するのを防ぐことができます。
次に、提供する側と同じように、個人データを受け取る側も一定の事項について記録を作成し、通常3年間保存しなければなりません。
記録する事項は以下のとおりです。
-
【オプトアウト手続きによって個人情報が提供される場合】
- 受領者の氏名又は名称
- 受領者の住所
- 受領者の代表者名(法人の場合)
- 受領者による取得の経緯
- 提供された個人データによって識別される本人の氏名その他本人を特定することができる事項
- 提供された個人データに含まれる項目
- 個人データの提供を受けた年月日
- 個人情報保護委員会からオプトアウト手続きの届出が公表されている旨
※個人情報保護委員会から公表されていない事業者からオプトアウトによって個人データの提供を受けると、不正な取得になる可能性があります。
-
【本人の同意を得て個人データの提供を受ける場合】
- 受領者の氏名又は名称
- 受領者の住所
- 受領者の代表者名(法人の場合)
- 受領者による取得の経緯
- 提供された個人データによって識別される本人の氏名その他本人を特定することができる事項
- 提供された個人データに含まれる項目
- 本人の同意がある旨
-
【私人(個人情報取扱事業者以外の者)から個人データの提供を受ける場合】
- 受領者の氏名又は名称
- 受領者の住所
- 受領者の代表者名(法人の場合)
- 受領者による取得の経緯
- 提供された個人データによって識別される本人の氏名その他本人を特定することができる事項
- 提供された個人データに含まれる項目
これらを記録する理由や記録の方法については、提供する側の部分で述べたとおりです。
5 外国にいる第三者に提供する場合の取扱いルール
2017年の個人情報保護法改正では、企業活動のグローバル化に伴って、第三者提供に関してもう一つ新たなルールが設けられました。
具体的には、個人データの第三者提供について、外国にいる第三者へ提供する場合にはあらかじめ「外国にいる第三者へ個人データを提供すること」についての本人同意を得なければならなくなりました。
通常の第三者提供についての本人の同意があったとしても、外国にいる第三者への提供についての同意がなければ外国にいる第三者に個人データを提供することはできません。
「外国にいる第三者」とは、個人データの本人と、それを取り扱う事業者以外の者で、外国に所在する者のことをいいます。
このとき、提供を受ける側が法人の場合には、個人データを提供する事業者と同じ法人か別の法人かで「第三者」かどうかを判断します。
例えば、提供元である日本の企業のグループ会社で、現地で法人格を取得しているような場合には「外国にいる第三者」にあたります。
一方、提供元事業者と同じ法人格のまま外国で活動をしているような場合には「外国にいる第三者」にあたりません。
この場合には、社内で個人情報を取り扱う場合と同じように考えるため、本人の同意がなくても個人データを提供することができます。
外国にいる第三者への提供については、個人情報保護委員会の「外国にいる第三者への提供のガイドライン」もご参照ください。
6 違反した場合のペナルティ
最後に、個人データの取扱いルールに違反してしまった場合のペナルティについて説明します。
事業者が個人データの取扱いに関してルール違反をしてしまい、さらに国からの改善命令にも違反した場合には、
- 違反した従業員に対して:最大6か月の懲役または最大30万円の罰金
- 会社に対して:最大30万円の罰金
が課せられる可能性があります。
また、個人データの流出によって被害者が出てしまった場合、上の刑事罰とは別に被害者から損害賠償請求を提起されるリスクや、謝罪金の支払い莫大なコストが発生するリスクがあります。
7 小括
以上のように、個人データを第三者に提供する場合には細かいルールや義務がたくさんあります。
リスクを回避するためにも、改正の背景やその内容をしっかりと確認し、慎重に個人情報を取り扱うようにしましょう。
8 まとめ
ここまでの解説をまとめると以下のとおりです。
- 「個人情報」とは、①生きている個人に関する情報で、その情報に含まれる氏名・年齢・生年月日やその他の記述によって特定の個人を識別できるもの、もしくは、②生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別することができるもの、のどちらかにあてはまるものをいう・「第三者提供」をするときに制限されるのは、個人情報のうち「個人データ」に関する部分
- 「第三者提供」とは、事業者が保有する個人データをその事業者以外の者に提供することをいう
- あらかじめ本人から同意を得た場合にのみ個人情報の第三者提供を認めることを「オプトイン」という
- オプトアウトの手続きをとっている場合と本人の同意を得ることが不合理な場合には、同意なしに個人データを第三者提供することが可能
- 個人データを第三者提供する場合はトレーサビリティの確保が重要
- 外国にいる第三者に個人データを提供する場合にはあらためて本人の同意が必要