個人情報の取り扱いやデータの第三者提供におけるルールは今、世界的に厳格化が進んでいます。IT技術の進歩の中、そのルールはこの先も変化や強化が進むことが考えられ、企業には柔軟かつ確実な対応が求められます。 Show
ここでは、「データの第三者提供時の取り扱い」やその注意点について、「改正個人情報保護法」の内容を踏まえながらご紹介します。 1.「第三者提供」とは第三者提供とは、個人情報保護法の概念において「個人データ(個人特定の可能性がある情報をデータベース化したもの)を取得者以外の第三者に提供すること」を指します。 改正個人情報保護法では、第三者提供に際してはユーザー本人から同意を得るなど、所定のルールを遵守するよう定めています。違反時には法人の場合で最大1億円という高額な罰金が科せられる恐れがあり、企業は十分な対策を講じる必要があります。 では具体的に、どのような点に注意をしなければいけないのでしょうか。 2.原則としてユーザーの同意取得が重要になるもっとも重要なのは、ユーザー本人の同意です。改正法では第三者提供に際して、原則としてユーザー本人に同意を得るよう義務付けています。 第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(後略) 引用:個人情報の保護に関する法律 利用目的・取得するデータ・第三者への提供方法・提供停止の申し出を受け入れる旨の通知など、ユーザーに対して説明すべき事項は多岐にわたります。企業としては、ユーザー本人の同意を得るための枠組み作りが喫緊の課題です。 また、第三者提供を受ける側の事業者にも、提供者が同意を得ていることを確認すべきケースが存在します。受け取る側だからといって対策を怠ることなく、データを扱う立場として責任を負うことを覚えておきましょう。 3. ユーザーの同意が不要なケース一方、例外的に第三者提供の同意が不要なケースもあります。下記のような場合がそれに当たります。 警察・裁判所による照会など法令に基づく要請警察や裁判所、税務署などの公的機関から法令に則った要請を受けた場合は、同意が免除されます。公共の福祉が優先されるためです。 (第三者提供の制限) 生命・身体・財産の保護に必要災害時など本人の同意を得ることが困難で、かつ生命・身体・財産の保護のために必要と判断された場合も免除対象です。たとえば、輸血のために被災者の血液型や病歴を知る必要がある場合などが該当します。 (第三者提供の制限) 児童虐待の情報など「公衆衛生・児童の健全育成に必要」虐待を受けている子どもの情報を関連機関(学校・保護施設など)で共有する場合も同意が免除されます。生命の危険にさらされていることはもちろん、それに対して公に主張することが難しい児童や幼児の安全を守るためでもあります。 (第三者提供の制限) ここまでの3つはいずれも、「同意取得が難しいが、身の安全などプライバシーより優先されるべき事柄がある」と判断される場合において義務が免除されるケースです。 委託・共同利用であれば同意が不要そのほか、業務の委託先へのデータの提供、あるいは共同利用においては例外的に同意が必要ありません。 2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。(後略) ただし、委託においては「委託先の監督義務」が、共同利用では「共同利用する旨の本人への通知・あるいは一般への公開」が求められる場合があり、みだりに悪用できないよう工夫されています。 4. 第三者提供する場合の取扱いのルールここからは、第三者提供にまつわる取り扱いルールを見ていきましょう。今回の改正により、現行の規則よりも提供時・受け取り時ともに厳しいルールが定められたため注意が必要です。 個人データを提供する側のルールまずは、個人データを提供する事業者のルールを解説します。 個人情報を提供したことを記録する第三者提供を行う際、事業者は日時・提供先など以下の情報を、文書・電磁的記録・マイクロフィルムのいずれかで記録する義務があります。 【本人の同意により個人データを第三者に提供した場合】
【オプトアウト手続きにより個人データを第三者に提供した場合】
出典:個人情報の保護に関する法律施行規則より一部抜粋・改変 これはどこから提供された情報なのかその責任の所在を明確にして、データの無責任な二次提供、三次提供を防ぐためです。なお、オプトアウトについては記事後半で解説します。 ユーザー本人の開示請求に応じる今回の改正により、上記の「第三者提供記録」をユーザー本人が開示請求できるようになりました。開示請求を受けた場合の手順や注意点は、以下の記事で詳しく解説しております。 >>企業は個人情報開示請求にどう対応するべきか 手順と注意点を解説 個人データを受け取る側のルール続いて、個人データを受け取る側の事業者が遵守すべきルールです。受け取る側のルールは大きく「確認義務」と「記録義務」の2種類に分類できます。 確認義務第三者提供を受ける事業者は、以下の通り「提供元の代表者の氏名や住所等」と「当該個人データの取得経緯等」について確認する義務を負います。 (第三者提供を受ける際の確認等) 第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(中略) すなわち、当該個人データが合法的に取得されたものであるのか、受け取る側でも確認しなければいけません。確認すべき取得経緯の具体的な内容は、ガイドラインでは以下の通り言及されています。
なお、確認すべきは「今回、自社とやり取りする第三者の取得経緯」であり、それ以前に遡ってデータの出所を明らかにする義務はありません。 記録義務実際に第三者提供を受けた後には、速やかに「第三者提供を受けたこと」に関する記録を作成・保管する義務があります。文書・電磁的記録・マイクロフィルムのいずれかにより以下の内容を記録しましょう。 【本人同意により第三者提供を受けた場合】
【オプトアウトにより第三者提供を受けた場合】
【私人など(個人情報取扱事業者以外など)から第三者提供を受ける場合】
出典:e-Gov「個人情報の保護に関する法律施行規則」より一部抜粋・改変 5.外国にいる第三者に提供する場合の取扱いルールIT技術の発展により個人データが容易に国境を越えてやりとりされるように時代が変化していることを念頭に、改正法では「外国にいる第三者に提供する場合の取扱いルール」も厳格化しました。法律では、以下の通りに定められています。 (外国にある第三者への提供の制限) すなわち、事業者は一部の例外を除いて、「外国にある第三者への個人データの提供」をする旨について本人から同意を得る必要があります。具体的に本人へ情報提供すべきだと法律により定められている事項は以下の通りです。
なお、そもそも相手が外国の第三者に当たるかどうかの判断は、同一法人格内での行動なのかによります。たとえば、外国で法人格を取得している親企業に対して、子会社である日本法人が個人データを提供するような場合は、外国の第三者とみなされるため注意が必要です。 外国にある第三者への提供、本人同意が不要になる例外ケース前述の第二十八条では、一部の例外として本人同意が不要となるケース(第一項各号に掲げる場合)が、以下の3点が定められています。
例外の定義は煩雑ですが、以下のポイントは必ず意識しておかなければいけません。
6. 見落としがちな注意点最後に、第三者提供の際に落とし穴となりうるポイントをご紹介しますので、ぜひ参考にしてください。 提供・受け取り記録は一部例外を除き3年間の保存義務がある上述した「第三者提供記録」「第三者提供を受けた記録」は、一部の例外を除き最低3年間保存しておくよう定められています。 該当データの利用が終了した後でも削除してしまわないよう、期限が過ぎるまで整理しておきましょう。 本人からの申し出により提供を停止する義務がある後述するオプトアウト手続き(改正法第二十七条2)により第三者提供をする場合、ユーザー本人から申請を受けたときには、速やかに第三者提供を停止しなければなりません。 加えて「ユーザーが停止を申請する方法(問い合わせ先等)」について、あらかじめプライバシーポリシーなどで公表しておかなければならない場合もあります。 どこにどのユーザーのデータが含まれているのかを把握しておかなければ、提供停止は困難です。社内の個人データ管理体制を整えておきましょう。 「オプトアウト」では提供できないデータがあるオプトアウトとは、事前に個人情報保護委員会の承認を得ることで「ユーザーが停止を申し出ない限り、常に第三者提供へ同意したとみなす」ルールです。実務上非常に便利なルールですが、今回の改正で、提供できるデータに制限が追加されました。すでに禁止されているものとあわせ、「要配慮個人情報」「オプトアウトで得た個人データ」「不正取得した個人データ」の3点に注意しましょう。
人種・犯罪歴・宗教・障害の有無など「差別や偏見に繋がるデータ」のことです。このような、ユーザーに不利益を与えかねないデータはオプトアウトできません。 なお、要配慮個人情報については以下の記事でも詳しく解説しております。 >>「要配慮個人情報」と「個人情報」の相違点を解説
「オプトアウトで第三者提供されたデータ」を受け取った事業者が、そのまま他の事業者に再度「第三者提供(オプトアウト)」してはならないというルールです。これにより、オプトアウトを許可されたデータが際限なく他の事業者へ再提供されてしまうことを防ぎます。
当然ながら、不正に取得したデータもオプトアウトしてはいけません。ここで気をつけたいのは、自社はもちろんのこと、他社が不正に取得したデータも含まれる点です。上述の通り、受け取り側の事業者には、基本的にそのデータの取得経緯を確認する義務が課せられています。 7. まとめ今回の改正法の全面施行により、第三者提供においては提供側・受け取り側双方にさまざまなルールが課せられ、特にユーザー本人の同意を得ることが重要となると予想されます。 企業内の個人情報保護の枠組みをできるだけ早く整え、間違いのない第三者提供のための対策をとることが、多くの企業にとって欠かせない課題です。ご紹介した内容やPriv Techのコンサルティングサービスを活用し、速やかな対策を実現しましょう。 >>Priv Techの「プライバシーコンサルティング」はこちら 公開日:2020年8月28日 パーソナルデータの取扱いにお悩みの方に
まずは資料請求 >> Trust 360について詳しく見る 「個人情報」にはどのようなものがあるでしょうか?個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。 これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。
第三者提供の記録作成は?個人情報取扱事業者は、個人データを第三者に提供したときは、当該個人データを提供した年月日、当該第三者の氏名または名称その他の個人情報保護委員会規則で定める事項に関する記録を作成し、これを一定期間保存しなければなりません(改正個人情報保護法25条1項、2項)。
個人関連情報の提供元基準は?改正法の「個人関連情報」
個人データを第三者提供する場合、個人データの容易照合性は提供元が基準となります。 提供先で特定の個人を識別できない状態だとしても、提供元では容易に照合できて特定の個人を識別できる状況にあれば、それは個人データの提供となるため、第三者提供の同意が必要になります。
オプトアウトによる第三者提供の記録は?オプトアウト手続により個人データを第三者に提供した場合は、以下の事項を記録しなければなりません。. 当該個人データを提供した年月日. 当該第三者の氏名または名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨). |