目次
1.個人データを事業者間で共用したい場合におけるスキーム
2.個人データの第三者提供に関する個人情報保護法のルール
(1) 個人データの第三者提供は原則不可
(2) 「委託」スキーム
(3) 「共同利用」スキーム
3.「委託」スキームと「共同利用」スキームの比較
(1) 共用する個人データの項目を特定しなければならないかどうか
(2) 個人データの共用することができる事業者の範囲はどうか
(3) 提供先の事業者に対して監督義務を負うかどうか
(4) 提供先で利用する統計情報の作成のために利用可能かどうか
(5) 提供元の個人データと提供先の個人データを突合できる(ひもづけられる)かどうか
(6) スキーム選択の決め手は?
4.スキームの選択に迷ったときは、ご相談ください
1.個人データを事業者間で共用したい場合におけるスキーム
顧客情報や従業員情報などが含まれた個人データを、グループ企業や業務提携先など、他の事業者と共用したいというニーズは、様々なビジネスの場において存在します。
個人データの共用のためのスキームとしてよく用いられるのが、「委託」スキームと「共同利用」スキームです。企業様からのご相談で、「委託」スキームと「共同利用」スキームについて、どの場面でどちらのスキームを用いたらよいか分からないというご相談をしばしばうかがいます。
そこで、今回のコラムでは、個人情報保護法における「個人データの第三者提供」について説明したうえで、「委託」スキームと「共同利用」スキームのメリット・デメリットを整理したいと思います。
2.個人データの第三者提供に関する個人情報保護法のルール
「委託」スキームと「共同利用」スキームについて取り上げる前に、関連する個人情報保護法のルールについて、簡単に説明します。
(1) 個人データの第三者提供は原則不可
(第三者提供の制限)
第27条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
【・・・以下省略・・・】
個人情報保護法は、原則ルールとして、本人の同意なく個人データを第三者に提供する行為を禁止しています。
「個人データ」とは、個人情報をデータベース化したり、ファイリングしたりして、検索可能な形式で体系化したものをいいます(個人情報保護法16条3項)。顧客情報や従業員情報などのリストに含まれる個人情報は、「個人データ」に該当しますので、本人の同意がなければ第三者に提供することはできません。
また、この「同意」は、「一定期間の回答がなければ同意したものとみなす」といった消極的な同意では足りず、積極的な同意を取り付けることが必要です。ただ、対象となる顧客や従業員の全員から同意を取り付けるとなれば、労力を要するうえに、同意を得られなかった人の情報を除外する必要がありますので、相応のコストを要します。
このような問題を解消するためのスキームとして、「委託」スキームと「共同利用」スキームがあります。
(2) 「委託」スキーム
(第三者提供の制限)
第27条 【4項まで省略】
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
【以下省略】
個人情報保護法27条5項1号は、「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」、個人データの提供先は「第三者」に該当しないと規定しています。
つまり、個人データの取扱いの委託に伴う提供であれば、利用目的達成に必要な範囲内にとどまる限り、本人の同意が不要となります。
「委託」スキームは、個人データを提供する相手が「個人データの取扱いの委託先」であると説明して、本人の同意なく事業者間での個人データの共用を可能にするスキームです。
(3) 「共同利用」スキーム
(第三者提供の制限)
第27条 【4項まで省略】
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
【1号・2号省略】
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
個人情報保護法27条5項3号は、次の事項について本人に通知するか、本人が容易に知り得る状態に置いていることを要件として、複数の事業者において個人データを共同利用する場合、個人データの提供先は「第三者」に該当しないと規定しています。
・共同利用をすること
・共同利用する個人データの項目
・共同利用する事業者の範囲
・共同利用する事業者の利用目的
・管理責任者の氏名・名称/住所/(法人の場合)代表者氏名
このうち、利用目的や管理責任者を変更する場合は、あらかじめ本人に通知するか、本人が容易に知り得る状態に置かなければなりません。また、管理責任者の氏名・名称/住所/(法人の場合)代表者氏名を変更する場合は、遅滞なく、本人に通知するか、本人が容易に知り得る状態に置かなければなりません。
本人に通知するか、本人が容易に知り得る状態に置くための方法としては、プライバシーポリシーを作成して共同利用についての記載を盛り込み、そのプライバシーポリシーの内容を本人に通知するか、あるいは、事業者のWebサイトなどに掲載する方法があります。
3.「委託」スキームと「共同利用」スキームの比較
ここからは、「委託」スキームと「共同利用」スキームについて、どのような違いがあるかを整理します。
(1) 共用する個人データの項目を特定しなければならないかどうか
「共同利用」スキームの場合、プライバシーポリシーなどで、他の事業者と共用する個人データの項目を示さなければなりません。また、個人データの項目については、利用目的との対応関係を明らかにして示すことが望ましいとされています。
一方で、「委託」スキームの場合、委託先と共用する個人データの項目を示す必要はありません。
個人データの項目を示さなければならない場合、他の事業者と共用する情報の中に、どのような個人データが含まれているかを洗い出さなければなりません。共用するデータベースの構造が複雑である場合、その洗い出しに労力を要する点が、「共同利用」スキームのデメリットとして挙げられます。
ただし、「委託」スキームを採用する場合でも、個人情報の利用目的を特定するために、ある程度個人データの項目を洗い出す必要があります。そのため、このような違いは、「委託」スキームか「共同利用」スキームかを選択するうえで、大きな決め手となるものではありません。
(2) 個人データの共用することができる事業者の範囲はどうか
「共同利用」スキームの場合、あらかじめ、プライバシーポリシーなどにおいて、個人データをどの範囲の事業者で共用するかを示さなければなりません。例えば、プライバシーポリシーにおいて「A」「B」「C」の事業者グループで共同利用することを示して収集した個人データについては、たとえプライバシーポリシーを変更したとしても、新たにグループ外の事業者「D」において利用することはできません。
一方で、「委託」スキームの場合、あらかじめ提供先の範囲を特定する必要がありません。
個人データをどの範囲の事業者で共用するかについては、個別の事業者名を列挙する必要まではありませんが、少なくとも、「子会社及び関連会社」「ABCポイントサービスの提携事業者」など、(個人情報を提供する一般の方の視点で)具体的にどの範囲の事業者を指しているのか特定できるような示し方をしなければなりません。共用する範囲が不確定で、そのような示し方が難しい場合、採用することのできないスキームです。
(3) 提供先の事業者に対して監督義務を負うかどうか
「委託」スキームの場合、委託先において安全管理措置が講じられるように監督義務を負いますが、「共同利用」スキームにおいては、そのような義務はありません。
ただし、「共同利用」スキームにおいても、自社の安全管理措置として、他の事業者と個人データをやりとりする場合における漏えい防止対策などは必要です。
また、「共同利用」スキームにおいても、通常は、個人情報を提供する際に、秘密保持契約を締結して安全管理を提供先に義務づけるケースが多いかと思います。そのため、このような違いは、「委託」スキームか「共同利用」スキームかを選択するうえで、大きな決め手となるものではありません。
(4) 提供先で利用する統計情報の作成のために利用可能かどうか
「共同利用」スキームの場合、提供先において独自の統計情報を作成したい場合など、提供元からの委託の範囲を超えるような利用が可能です。※ただし、プライバシーポリシーなどで特定した利用目的に限られます。
一方で、「委託」スキームの場合、提供元から委託を受けた範囲に縛られるため、提供先において独自の統計情報を作成したい場合には使えません。
(5) 提供元の個人データと提供先の個人データを突合できる(ひもづけられる)かどうか
(4)に関連して、「委託」スキームの場合、提供元から委託を受けた範囲に縛られるため、提供先が、提供元から受け取った個人データと、自社において独自に収集した個人データとを突き合わせて(ひもづけて)、新たな目的での利用をすることはできません。管理についても、自社において独自に収集した個人データとは分別しておく必要があります。
一方で、「共同利用」スキームの場合、そのような制約はありませんので、プライバシーポリシーなどできちんと示した利用目的の範囲にとどまる限り、上記のような突き合わせ(ひもづけ)も可能です。
(6) スキーム選択の決め手は?
以上のことを踏まえると、スキーム選択の大きな決め手となるのは、次の3点です。
・あらかじめ共用する事業者の範囲を特定することができるか
・提供先においても(提供元とは異なる)独自の目的で個人データを利用したいか
・提供先において独自に保有している個人データと突合して(ひもづけて)利用したいか
共用する事業者の範囲をあらかじめ特定することが難しい場合は、「共同利用」スキームの採用ができないため、「委託」スキームを検討する必要があります。
一方で、提供先においても(提供元とは異なる)独自の目的で個人データを利用したい場合や、提供先において独自に保有している個人データと突合して(ひもづけて)利用したい場合は、「委託」スキームの採用ができないため、「共同利用」スキームを検討する必要があります。
いずれの方法も採用できない場合は、本人から個別に同意を得る方法や、匿名加工情報にしたうえで共用する方法(詳しくは「個人情報保護法改正で変わる!仮名加工情報と匿名加工情報の利活用を弁護士が解説」をお読みください)があります。
それぞれのメリット・デメリットを踏まえて、適切なスキームを選択することが必要です。
4.スキームの選択に迷ったときは、ご相談ください
顧客情報や従業員情報などが含まれた個人データを、グループ企業や業務提携先など、他の事業者と共用する場合には、個人情報保護法に抵触しないスキームを吟味しなければなりません。ただし、そのためには、個人情報保護法に対する正確な知識と深い理解が必要です。
個人情報保護法に関してお困りの際は、ぜひ、当事務所にご相談ください。はじめての方は相談料無料で、オンライン対応により全国の企業様からのご相談を承っております。
