消費者と事業者の信頼の中心に
2022年10月11日
当機構では、日々、事業者の皆様の個人情報保護管理について助言を行っております。
そうした中でよくいただくご相談のひとつとして
「個人情報を外部の事業者に渡すが、個人情報保護法でいう
『第三者提供』『委託』『共同利用』のどれに当たるのかが分からない」という
内容がございます。
そこで今回は、「第三者提供」「委託」「共同利用」の違いについて概説いたします。
※本内容について、無料WEBセミナーでもご説明しておりますのでよろしければご利用ください。
※本ブログ中では、個人情報の保護に関する法律についてのガイドラインを
「ガイドライン」、ガイドラインに関するQ&Aを「Q&A」と略記しております。
他の事業者へ提供を行う場合は原則として本人からの同意の取得が必要となりますが、
まずは、そもそも「提供」に該当するかどうかに注意する必要があります。
「提供」の定義は「個人データ等を、自己以外の者が利用可能な状態に置くこと」です。
(ガイドライン(通則編)2-17「提供」)
つまり、例えば郵便事業者や倉庫業者が預かったものの内容に関知しないように、
他の事業者が個人データ等を利用可能でない場合は、「提供」には該当しません。
この点に関連してよくいただくご質問として、
「第三者のクラウドサービス上に個人情報を保管している場合はどうなるか」という
内容がございます。
この場合、クラウドサービス提供事業者が、個人データ等を取り扱わないことになっている
場合は、提供したことにはなりません。(Q&A Q7-53)
ただし、Q&Aに「当該個人データを取り扱わないこととなっている場合とは、契約条項に
よって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、
適切にアクセス制御を行っている場合等が考えられます」とも記載されている通り、
第三者が個人データを取り扱わないことになっているかどうかは注意が必要です。
第三者提供に該当する場合は、原則として、あらかじめ本人の同意を得てから個人データを
第三者に提供しなければなりません(ガイドライン(通則編)3-6-1 第三者提供の制限の原則)。
同意の取得に際しては、事業の性質や個人データの取扱い状況に応じて合理的かつ適切な内容を
明確に示さなければなりません。あらかじめ個人情報を第三者に提供することを想定している
場合には利用目的において、その旨を特定しなければなりません。
また、「第三者提供に係る記録の作成等」、及び、受領する場合は「第三者提供を受ける際の
確認等」も行う必要があります。
次の 1から 3までの場合については、第三者に該当しないものとされます。
個人データの提供先が形式的には第三者に該当するものの、本人との関係において、
提供元と提供先と一体のものとして取り扱うことに合理性があるためです。
(ガイドライン(通則編)3-6-3 第三者に該当しない場合)
1. 委託(個人データの取扱いに関する業務の委託に伴う提供)
2. 事業の承継(合併、分社化、事業譲渡等による事業承継に伴う提供)
3. 共同利用(特定の者との間で共同して利用される個人データを提供)
「第三者」に該当しないものとされるため、これらの場合は、
第三者提供の制限の原則、第三者提供時の確認、記録の義務が適用されません。
重要なポイントは、いずれの場合も、提供先での個人データの利用が、
提供元の利用目的の範囲内に限られる、ということです。
委託の場合は提供元の利用目的の範囲内での業務委託となりますし、
事業承継の場合は、事業承継前の利用目的で利用する必要があります。
共同利用の場合は、提供元が本人に通知等した共同利用の利用目的において
共同利用する必要があります。
提供先において、提供先独自の利用目的で個人データを利用する場合は第三者提供と
なりますのでご注意ください。
委託に伴う提供を行う場合には、以下の点も注意することが必要になります。
委託先事業者との契約条項に盛り込むことが望ましいといえます。
・委託先は複数の提供元から提供された個人データを区別せず混ぜて取り扱うことはできない
(Q&A Q7-37)
・委託先は、提供を受けた個人データを、独自に取得した個人データ又は個人関連情報と
本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して
委託元に戻すこともできない(Q&A Q7-42)
・複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを
本人ごとに突合することはできない(Q&A Q7-43)
委託元には委託先への監督の義務があり、委託先が法第23条の水準以上の安全管理措置を
実行していることを監督する必要があります。(ガイドライン(通則編)3-4-4 委託先の監督)
委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、
リスクに応じて、次の 1から 3までの必要かつ適切な措置を講じなければなりません。
この中で注意が必要なのが、「3.委託先における個人データ取扱状況の把握」です。
委託先が再委託を行おうとする場合は、委託元は以下の対応の実施が望ましいとされています。
・委託先から事前報告を受け又は承認を行うこと
・委託先が再委託先に対して委託先の監督を適切に果たすこと
(委託先を通じ、又は必要に応じ自らが定期的に監査を実施すること等により)
・再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認すること
たとえ再委託先や再々委託先からであっても、漏えい等の事故が発生した場合は、
委託元としての責任を問われることになりますので注意が必要です。
共同利用の事例としては以下のようなものがあります。
1. グループ企業で総合的なサービスを提供するために取得時の利用目的の範囲内で
情報を共同利用する場合
2.親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
3.使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の
範囲内で従業者の個人データを共同利用する場合
共同利用の場合、次の 1~ 5の情報をあらかじめ本人に通知、もしくは本人が容易に知り得る
状態に置かなければなりません。実務的にはプライバシーポリシーへの記載等で対応している
事業者が多いようです。
1.共同利用をする旨
2.共同して利用される個人データの項目
3.共同して利用する者の範囲
4.利用する者の利用目的
5.管理に責任を有する者の氏名又は名称、住所、代表者名
注意が必要なのは、「共同して利用する者の範囲」です。本人がどの事業者まで将来利用されるか
判断できる程度に明確にする必要があります。
ただし、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する
必要はないとされています。例えば、グループ企業一覧をホームページで公開している場合、
通知事項内には「共同利用の範囲:当社グループ企業」と記載しておくことが可能です。
最後に、第三者提供、委託、共同利用に係る義務を比較したイメージは以下になります。
本ブログでは概要のみご説明いたしましたが、本内容について、本内容について、無料WEBセミナーでもご説明しておりますのでよろしければご利用ください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。