第1 個人データの第三者提供
事業者は、個人データの第三者提供を行う場合には、原則として本人の同意を得ておく必要があります(第23条第1項)。
同意の取得に当たっては、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す必要があります。提供先の氏名や名称を個別に明示することまでが求められているわけではありませんが、想定される提供先の範囲や属性を示すことが望ましいとされています。
さらに、取得編(https://www.kp-lo.jp/law-info/--.html)において説明したように、個人情報を取り扱うに当たり、利用目的を特定する必要がありますが、第三者に提供することを想定している場合には、予め利用目的において、その旨を特定しておく必要もあります(ガイドライン通則編45頁)。
第2 第三者に該当しない場合
例外的に、次の場合には第三者提供に当たらないとされます(第23条第5項)。そのため、本人の同意を得る必要はありません。
① 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(1号)
② 合併その他の事由による事業の承継に伴って個人データが提供される場合(2号)
③ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(3号)
例えば、M&A等により個人データが移転される場合であっても、消滅会社等の承継元の会社は、前第2号の適用により、本人から同意を取得することなく、合併などにより個人データを存続会社等承継先会社に移転させることが可能です。
もっとも、M&Aのスキームの中でも、例えば株式譲渡のスキームを採用する場合、「事業の承継」(前第2号)には当たりません。それゆえ、改めて本人から同意を取得するか、もしくは前第3号に定める共同利用の例外要件の適用を検討する必要があります。
第3 オプトアウトによる第三者提供
オプトアウトによる第三者提供とは、以下の要件を満たす場合に、本人の同意を得ることなく、第三者提供が可能となるものをいいます(法第23条第2項)。
①本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合
②個人情報保護委員会規則で定めるところにより、予め、本人に通知し、又は本人が容易に知り得る状態に置くこと
③個人情報保護委員会に届け出ること
地図業者など、第三者提供がされる個人データが膨大であり、事前の承諾を得ることが困難な業態で用いられています。
オプトアウトによる第三者提供があらゆる場合に認められるわけではなく、例えば以下のようなケースではオプトアウトによる第三者提供は認められません。したがって、原則どおり本人の同意を得る必要があります。
① 要配慮個人情報
② 適正な取得についての規定(法17条1項)
③ 他の個人情報取扱事業者からオプトアウトにより提供されたもの
④ 上記②及び③の個人データの全部又は一部を複製し、又は加工したもの
第4 外国にある第三者への提供
外国にある個人データの移転については、原則としてあらかじめ外国にある第三者への提供を認める旨の本人の同意を取得する必要があります(法第24条)。
本人の同意を取得する場合には、外国にある第三者に個人データを提供することを明確にしなければならず(ガイドライン外国提供編5頁)、具体的には、提供先の国又は地域名(例:米国、EU加盟国)を個別に示す方法のほか、実質的に本人からみて提供先の国名等を特定できる方法、国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法などが含まれるとされています。
令和2年改正法では、本人の同意に基づき外国にある第三者への提供を行う場合には、予め、「当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他本人に参考となるべき情報」を本人に提供することが義務付けられています(改正法第24条第2項)。
以上のとおり、外国にある個人データの移転については、原則として本人の同意が必要ですが、例外的に個人情報保護委員会が指定した国に対するデータ移転については法第24条第1項に基づく本人の同意の取得は不要となります(法第24条第1項)。現在、個人情報保護委員会が指定した国は、EU加盟国及び英国です(平成31年個人情報保護委員会告示第1号)。
ただし、法第23条に従い、原則として第三者へのデータ移転に関する同意を取得する必要はある点に注意が必要です。
ほかにも、個人データの取扱いについて基準に適合する体制を整備している者へ個人データを移転する場合にも本人の同意を取得する必要がありません(法第24条第1項、第3項)。平たくいえば、日本における個人情報取扱業者が個人情報保護法により求められている水準と同程度の水準の体制を整備している事業者であれば、本人の同意を取得することなく、第三者提供が可能となるのです。
第5 第三者提供記録の作成
個人データの第三者提供を行った場合、個人情報保護委員会規則で定めるところにより、記録を作成しなければなりません(法第25条)。詳細な説明は割愛しますが、記録の作成方法については施行規則第12条において法定されています。
記録事項については以下のとおりです(法第25条、施行規則第13条)。
(オプトアウト手続により行われる場合)
① 提供年月日
② 第三者の氏名等
③ 本人の氏名等
④ 提供される個人データの項目
(本人の同意に基づいて提供される場合)
① 第三者の氏名等
② 本人の氏名等
③ 提供される個人データの項目
④ 本人の同意を得ている旨
ここで、④本人の同意を得ている旨については、例えば本人による同意する旨のホームページ上のボタンのクリックに係るシステムログなどの証拠をもって記録とすることも認められます。
第6 第三者提供を受ける際の確認義務
事業者は、第三者から個人データの提供を受ける際には、以下の事項について「確認」を行う必要があります。
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
② 当該第三者による当該個人データの取得の経緯
①については、口頭での申告を受ける方法や所定の申込書等に記載させ提出を受ける方法、本人確認書類の写しの送付を受ける方法が含まれるとされています(ガイドライン確認記録編12頁)。
②における「取得の経緯」については、基本的に取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、所謂公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、所謂公開情報から取得したか、照会により取得したか、私人として取得したものか等)等を確認しなければならないとされています(ガイドライン確認記録編13頁)。また、②については、契約書その他の書面の提示を受ける方法その他の適切な方法により行うこととされています(施行規則第15条第2項)。
なお、②取得の経緯を確認する趣旨としては、個人データが不正に入手されたものである疑いがある場合に、当該個人データの流通を未然に防ぐ点にあるため(ガイドライン確認記録編12頁、13頁)、以上の確認の結果、適法に入手したものではないと疑われる場合、提供を受けるべきではありません。これに反して、提供を受けた場合、法第17条1項(個人情報の適正な取得)の違反となる可能性があります。
第7 個人関連情報の第三者提供の制限
個人関連情報を提供する場合に、提供先が個人データとして利用することが想定されるときは、以下の事項について確認しなければならず、確認することをしないで個人関連情報を提供することは禁じられています(改正法第26条の2)。改正個人情報保護法で新たに設けられた規定です。
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない」情報をいいます。つまり、個人情報保護法が規制の対象として定める情報以外にも様々な個人に関する情報があるところ(ex.氏名と結びついておらず特定の個人を識別することができないウェブ閲覧履歴等)、このような情報については全て個人関連情報に当たることとなります。
例えば、X社がある自然人のウェブ閲覧履歴をY社に提供することを想定してみてください。
X社がウェブ閲覧履歴を特定の人物であるAのウェブ閲覧履歴であると特定できる場合、そのウェブ閲覧履歴自体は、特定の個人を識別することができるので、個人情報に該当します。その結果、X社は、Aから個人情報の第三者提供に関する同意を取得する必要があるでしょう。
ところが、X社においては、Aのウェブ閲覧履歴であると特定することができない場合、個人情報には該当しないので、X社がそのようなウェブ閲覧履歴をY社に提供するとしても、Aから同意を取得する必要はなく、むしろAを特定できないのですから、同意を取得することは不可能であると言ってもいいでしょう。
一方、X社がウェブ閲覧履歴とともに個人情報にあたらない何らかの情報(ID番号等)をY社に提供するような場合、Y社が自社内部のID番号等と紐づけることで、Aのウェブ閲覧履歴であると特定することが可能な場合もあります。
このような行為が行われた場合、Aは、自身の関知しないまま、自身のウェブ閲覧履歴をY社に利用されてしまうこととなり、プライバシー権が害されることがあるので、改正個人情報保護法では、提供元が個人関連情報を第三者に提供する際に、その第三者が個人データとして利用することが想定されるようなケースでは、本人の同意が得られていることを確認しなければならないとしたものです。
次に、第三者が個人関連情報を個人データとして利用することが想定されるときというのがいかなる場合を指すのかが問題となりますが、立法担当者は、「一般人の認識を基準として提供先において個人データとして取得されることを通常想定できる場合」を指すとしていますが、今後ガイドライン等で明らかにされるのでなければ、中々判断が難しいところであると思われます。
第8 まとめ
第三者提供は法令に基づく場合などの例外に当たらない限り、本人の同意が必要となります。
他方で、第三者に当たらない場合として、例えば共同利用の場合が掲げられており(個人情報保護法第23条第5項第3号)、これを利用することで、本人の同意を得ることなく、グループ会社間で情報を共有することも可能です。利用にあたってはプライバシーポリシーに法定の事項を明記する必要があります。
また、第三者提供をし、あるいは提供を受ける場合には記録を作成する必要があります。