- Home
- 個人情報の第三者提供についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策⑤】
個人情報の第三者提供についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策⑤】
最近は、個人情報保護法ばかり書いていますが、今回も前回までの続きです(個人情報保護法の記事一覧)。今回は、「個人情報取扱事業者」が遵守すべき5つの事項のうちの1つである「第三者提供に関するルール」についてお話します。
つまり、取得した個人情報を自分(会社の場合はその会社)以外の人や会社に提供できるのかという問題です。これは、受け取る側も注意しなければならない(受け取る側も違法となりえます。)点ですので、要チェックです。
1 第三者提供に関する大原則(個人情報保護法23条1項)
個人情報保護法23条1項は、あらかじめ、本人(お客さん)の同意を得なければ、個人情報を第三者に提供してはいけないとしています。これは、今までの記事で書いている通り、自己の個人情報を知らないうちに利用されたりすることを防止するためのです。
具体的には、第三者に情報提供をする以前に、本人がそれを認める意思表示をしている必要があります。
ただし、いかなる場合でも提供してはならないわけではありません。例外的に事前の同意がなくても第三者提供が認められる場合もあります。その中で、一番重要なのが、「2」で記載するオプトアウトの例外です。
なお、個人情報保護法はその他(オプトアウト以外)にも事前の同意のない第三者提供できる場合の例外を定めていますが、これは通常のビジネスをしている状況では関連性が薄いです。この例外は、利用目的に関するルールの記事の「3.3」に記載されいる事項と同一になりますので、知りたい方はそちらをご参照ください。条文も上げておきます。
個人情報保護法第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 ・・・省略・・・
3 ・・・省略・・・
4 ・・・省略・・・
5 ・・・省略・・・
2 オプトアウトによる重要な例外!?(個人情報保護法23条2項)
個人情報の第三者提供における「オプトアウト」とは、本人の同意を得ていなくても、提供にあたり①一定事項を②あらかじめ本人(お客さん)に通知又は本人(お客さん)が容易に知り得る状態に置いておき、③本人(お客さん)が第三者への提供を停止することを求めてきた段階で、第三者提供をやめれば良いよ!!というルールです。
つまり、一定の要件の下、事前同意ではなく、本人の方から求めてきた場合にやめればいいよ!というルールです。
2.1 オプトアウトによる第三者提供が認められるには!?
以下、本人の事前の同意をとらずに、第三者提供ができるオプトアウトが認められるのに必要な上記の①~③の要件を詳細に見ていきましょう。
2.1.1 ①「一定事項」
オプトアウトによる第三者提供をするために、事前に通知又は容易に知り得る状態にしておくべき事項は、
ⅱ 提供する個人情報の項目(【氏名、住所、電話番号】とか、【氏名、商品購入履歴】等】
ⅲ 第三者への提供の手段又は方法(【書籍として出版】、【インターネットに掲載】や【プリントアウトして交付】等】
ⅳ 本人(お客さん)の求めに応じて第三者提供を停止すること
になります。
2.1.2 ②本人(お客さん)に通知又は本人(お客さん)が容易に知り得る状態に置いておくこと
まず、「通知」はそのままメールを送ったり、FAXや郵送でDMを送ったりすることです。
一方、「容易に知り得る状態に置く」とは、ウェブ画面上のトップページに上記事項の記載があるページへのリンクを貼る方法や定期刊行物(ECであれば、メルマガ等)へ定期的に掲載すること等をいいます。
なお、「利用目的を本人が知ることができる状態」について書いた利用目的に関する記事の「4」とは、「容易に」がついてる点で異なるので注意して下さい。
2.1.3 ③本人(お客さん)が求めてきた場合に停止すること
上記の「2.1.1」の事項のⅳを、実際に求めがあった場合に実行するということです。
2.2 目的外利用になる場合に要注意!
ただし、オプトアウトによる第三者への情報提供をする場合には重要な注意点があります。そもそも、「個人情報取扱事業者」が個人情報を利用するには、利用目的を特定しなければなりません(詳しくは上にリンクのある利用目的に関するルールについての記事を参照)。
その特定された利用目的に、第三者への提供が含まれていない場合には、目的外利用となってしまうので、本人(お客さん)の同意を必要としないオプトアウトによる第三者の提供はできませんので、要注意です。
3 「第三者」にあたらない人たち!?(個人情報保護法23条4項)
ここまでは、「第三者」提供について書いてきました。法律は、この第三者提供を制限する規定の中に、そもそも「第三者」への提供にあたらない人達もいるよという形で規定を置いています(個人情報保護法23条4項)。ということは、これにあたれば、本人の同意も、オプトアウトによる提供のルールも守る必要はありません。
(第三者提供の制限)
個人情報保護法第23条 ・・・省略・・・
2 ・・・省略・・・
3 ・・・省略・・・
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 ・・・省略・・・
以下、この「第三者」にあたらないとされる3つについて見ていきます。
3.1 委託(個人情報保護法23条4項1号)
法律は、特定された利用目的達成に必要な範囲で、個人情報の取扱いに関する業務の全部又は一部を委託する場合は、「第三者」に該当しないとしています。
例えば、データの打ち込み等、情報処理を委託するために個人データを渡す場合や百貨店が注文を受けた商品の配送のために、宅配業者に個人情報を渡す場合には、「第三者」提供のルールを守る必要はないのです。
これは、この委託先は、情報を提供する「個人情報取扱業者」のために情報を利用するのみであるのだから、もはや「第三者」とはいえず、実質的に「個人情報取扱業者」で雇われている人が情報を利用するのと同様であるというのが理由です。
ただし、そうである以上、個人情報取扱事業者は委託先に対する監督をしなければなりません(個人情報保護法22条)。
3.2 事業承継(個人情報保護法23条4項2号)
また、法律は、合併・分社化・事業譲渡等により事業が承継され個人情報が移転される場合も、「第三者」に該当しないとしています。
これは、その個人情報を利用する「事業」自体が移転するのであるから、その「事業」と一緒に個人情報についても移転すると考えるのが自然だからです。
ただし、事業の承継後も、譲渡される前の利用目的の範囲内で利用しなければならないのはもちろんです。
3.3 共同利用(個人情報保護法23条4項3号)
個人情報を他の事業者等と共同で利用する場合に、
ⅱ 共同利用者の範囲
ⅲ 利用する者の取得時の利用目的(共同して利用する個人データのすべての利用目的)
ⅳ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人情報の内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称
をあらかじめ本人にお客さんに通知又は容易に知りえる状態に置けば、その特定の者は「第三者」は含まれず、第三者提供のルールは適用されません。
例えば、企業のポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同して利用する場合等に活用されます。
4 まとめ
以上、長々と個人情報の第三者提供に関するルールについて記載してきました。
第三者提供が想定できる場合には、ECサイト運営者としては
② ①によりオプトアウトを可能となるので、「2.1.1」の事項を記載したページに対して、トップページや商品購入ページにリンクを貼っておくこと
③ 利用目的の変更が必要となった場合には、しっかりと利用目的に関するルールにのっとり、変更すること
が大切です。つまりは、だまし討ちのような感じにせず、お客さんに誠実に対応する形をとることが必要ということです。
※平成29年5月30日に個人情報保護法の改正が実施されました。オプトアウト制度の変更や、個人データを第三者に提供する場合の新たな義務の追加などがなされていますので、こちらの記事も併せてお読み頂ければと思います。→個人情報保護法の改正点② ~オプトアウト制度・個人データの第三者提供に関する義務~