原則として、個人情報を本人に無断で第三者に提供してはなりません。
では、個人情報を第三者に提供するには、どのような手続きが必要となるのでしょうか?
また、個人情報を第三者提供する際は、どのような点に注意すべきなのでしょうか?
今回は、企業が個人情報の第三者提供を適切に行う方法などを、弁護士がくわしく解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報の第三者提供とは
個人情報を第三者に提供しようとする際は、個人情報保護法の規定を遵守しなければなりません。
では、そもそも「第三者提供」にあたるのは、どのような場合なのでしょうか?
はじめに、第三者提供にあたる場合とあたらない場合を整理して解説します。
個人情報の第三者提供にあたる場合
相手が個人であるか法人であるかを問わず、「第三者」に個人情報を提供する行為は第三者提供にあたります。
まったく資本関係にない第三者に提供する場合はもちろん、次の場合も原則として個人情報の第三者提供にあたります。
- 親子兄弟会社、グループ会社の間で個人データを交換する場合
- フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
- 同業者間で、特定の個人データを交換する場合
- 本人の家族からの求めに応じて個人データを提供する場合
次で解説する「個人情報の第三者提供にあたらない場合」を理解したうえで、これに該当しないものは第三者提供にあたると理解するとよいでしょう。
個人情報の第三者提供にあたらない場合
自社の内部で、他部門へ個人データを提供する場合は個人情報の第三者提供にあたりません。
また、個人情報の対象である本人に対して個人データを提供する場合も、第三者提供ではありません。
さらに、これら以外への提供であっても、次のいずれかに該当する場合には、例外的に第三者提供にあたらないとされています(個人情報保護法27条5項)。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内で個人データの取扱いの全部または一部を委託することに伴い、個人データを提供する場合
- 合併などの事業承継に伴って個人データが提供される場合
- 個人データの共同利用について、次の事項をあらかじめ本人に通知するか本人が容易に知り得る状態においている場合
- 特定の者との間で個人データを共同利用する旨
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 個人データの管理について責任を有する者の氏名または名称、住所、法人の場合は代表者氏名
これらのいずれかに該当する場合には「第三者提供」にあたりません。
共同利用などを想定している場合には、あらかじめプライバシーポリシーに必要な情報を盛り込むなどの対応をするとよいでしょう。
また、一定の個人データの取扱い委託は第三者提供にあたらないとはいえ、自身の知り得ないところで自身の個人情報を取り扱う業務が他社に委託されることに不信感を持たれる可能性があります。
そのため、業種などによっては必要に応じて委託する旨をプライバシーポリシーや自社ホームページで公開するなど、ユーザーの不安を軽減する対策を講じることも検討するとよいでしょう。
個人情報を第三者提供する方法
個人情報を第三者提供するには、どのような対応が必要となるのでしょうか?
ここでは、個人情報保護法の規定に従い、個人データを第三者に提供する方法について解説します。
基本:本人の同意を得る
個人データを第三者に提供するには、原則としてあらかじめ本人の同意を得なければなりません(同27条1項)。
個人情報保護法ガイドラインによると、「本人の同意」を得る方法には次のものなどが挙げられます。※1
- 本人からの同意する旨の口頭による意思表示
- 本人からの同意する旨の書面(電磁的記録を含む)の受領
- 本人からの同意する旨のメールの受信
- 本人による同意する旨の確認欄へのチェック
- 本人による同意する旨のホームページ上のボタンのクリック
- 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチなどによる入力
なお、同意の取得にあたっては事業の規模や性質、個人データの取扱状況などに応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示すことが必要です。
また、個人情報を第三者に提供することがあらかじめ想定されている場合には、利用目的において、その旨を特定しなければなりません。
例外:オプトアウト方式を採用する
個人情報の第三者提供では、例外的にオプトアウトの方法を選択できます(同27条3項)。
オプトアウトとは、あらかじめ本人の同意を得ることなく第三者提供をしたうえで、本人から第三者提供をやめるよう求められた際に第三者提供を停止する方法です。
個人情報を第三者提供しようとする際は、次のすべての措置を講じなければなりません。
- 第三者に提供される個人データについて、本人の求めに応じてその本人の個人データの第三者への提供を停止することとする
- 一定事項をあらかじめ本人に通知するか、本人の知り得る状態に置く
- 一定事項を個人情報保護委員会に届け出る
本人への通知または公開と個人情報保護委員会への届出が求められる一定事項とは、次の内容です。
- 第三者への提供を行う個人情報取扱事業者の氏名または名称と住所、法人の場合はその代表者氏名
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者に提供される個人データの取得の方法
- 第三者への提供の方法
- 本人の求めに応じて個人データの第三者への提供を停止すること
- 本人の求めを受け付ける方法
- その他一定の事項
なお、個人情報保護委員会へオプトアウトの届出を行うと、個人情報保護委員から一定事項が公表されます(同4項)。
本人の同意などがなくても個人情報を第三者提供できる場合
個人情報の第三者提供の中には、本人の同意やオプトアウト措置が不要となるものがあります。
本人の同意などを得ることなく個人情報を第三者提供できる主なケースは次のとおりです(同27条1項)。
- 法令に基づく場合
- 人の生命、身体、財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難であるとき
- 国の機関や地方公共団体、これらの委託を受けた者による法令の定める事務遂行に協力する必要がある場合で、本人の同意を得ることによりその事務の遂行に支障を及ぼすおそれがあるとき
- その個人情報取扱事業者が学術研究機関等である場合で、その個人データの提供が学術研究の成果の公表または教授のためやむを得ないとき
- その個人情報取扱事業者が学術研究機関等である場合で、個人データを学術研究目的で提供する必要がある一定のとき
- その第三者が学術研究機関等である場合で、その第三者が個人データを学術研究目的で取り扱う必要があるとき
ただし、「5」から「7」の場合には、個人の権利利益を不当に侵害するおそれがある場合は除かれます。
個人情報を外国にある第三者に提供する方法
個人情報の提供先である第三者が外国にある企業である場合、国内の第三者に個人情報を提供する場合とは異なる措置が求められます。
ここでは、個人情報の第三者提供をする方法を相手先別に解説します。
日本と同等の水準国である場合
個人情報の提供先事業者が属する国が、個人の権利利益を保護する上で日本と同等の水準にある場合には、外国にある第三者であるからといって取り扱いが異なることはありません。
この場合は、日本国内における第三者提供と同様の措置を講じることとなります。
基準に適合する体制を整備した事業者である場合
個人情報の提供先事業者が属する国は日本と同等の水準にある国とはいえないものの、その事業者自身が基準に適合する体制を整備している場合には、本人同意などのルールは日本にある第三者提供の場合と同様です。
ただし、この場合には、移転元が次の措置を講じなければなりません。
- 移転先における適正な取扱い状況などを定期的に確認すること
- 移転先における適正な取扱いに問題が生じた際に適切に対応すること
- 本人の求めに応じて、必要な措置に関する情報を本人に提供すること
これらのいずれにも該当しない場合
個人情報の提供先事業者が属する国が個人の権利利益を保護する上で日本と同等の水準にあるとはいえず、移転先の事業者自身も一定の基準に適合しているとは認められない場合には、本人から第三者提供に関する同意を取得する際に次の情報を提供しなければなりません(同28条2項)。
- 移転先の所在国の名称
- その国における個人情報の保護に関する制度
- 移転先が講ずる個人情報保護のための措置
これらの情報が適切に提供されなければ、本人が第三者提供に同意するか否かの適切な判断ができないためです。
個人情報の第三者提供にまつわるその他の注意点
個人情報の第三者提供をする際は、どのような点に注意する必要があるのでしょうか?
ここでは、第三者適用時の主な注意点を解説します。
オプトアウト方式では第三者提供できない個人情報がある
オプトアウト方式での第三者提供は、どのような場合でも認められるわけではありません。
次の情報についてはオプトアウト方式による第三者提供はできないため、注意が必要です(同27条2項)。
- 要配慮個人情報オプトアウトで得た個人データ
- 不正取得した個人データ
第三者提供の記録を残す必要がある
個人情報の第三者提供をした場合は、第三者提供の記録を残さなければなりません。
記録すべき主な事項は次のとおりです(同29条1項、個人情報保護法施行規則20条)
- 個人データを提供した年月日
- 提供先の第三者の氏名または名称、法人の場合は代表者氏名
- その個人データによって識別される本人の氏名、その他の本人を特定するに足りる事項
- 個人データの項目
第三者提供記録の開示請求がなされる可能性がある
第三者提供の記録は、本人からの開示請求の対象となります(個人情報保護法33条5項)。
開示請求がされた際は適切に対応できるよう、社内の業務フローなどを整備しておきましょう。
個人情報の第三者提供を適切に行うポイント
個人情報の第三者提供を適切に行うには、どのようなポイントを踏まえればよいのでしょうか?
最後に、個人情報の第三者提供を適切に行い、トラブルを避けるためのポイントを3つ解説します。
第三者提供する個人情報の範囲や利用目的を明確にする
1つ目は、第三者提供する個人情報の範囲や利用目的を明確にすることです。
先ほど解説したように、個人情報を第三者提供した場合は記録を残す必要があるほか、本人からその記録の開示請求がなされる可能性があります。
第三者提供をした個人情報の範囲や利用目的が明確となっていなければ個人情報保護法に違反するのみならず、本人から不信感を抱かれかねません。
そのため、第三者提供をする際は提供する個人情報の範囲や利用目的を明確にしたうえで、同意の取得や必要事項の公表を行いましょう。
ユーザー視点で分かりやすい説明をする
2つ目は、ユーザー視点でわかりやすい説明をすることです。
法律の用語は難解であり、一般のユーザーには理解が難しいものも少なくありません。
そのため、本人から第三者提供の同意を取得する際やオプトアウトのために必要事項を公表する際は、わかりやすい説明を心がけましょう。
本人の理解が難しい記載とした場合、「だまし討ち」のような印象を与え、企業イメージが失墜するおそれがあります。
不明点は弁護士へ相談する
3つ目は、不明点が生じた際は弁護士へ相談することです。
ここまで解説したように、個人情報の第三者提供では遵守すべき多くの規定があります。
たとえば、オプトアウト方式での第三者提供には個人情報保護委員会への届出も必要であるものの、プライバシーポリシーへの記載と、本人から求められた際に提供の停止さえすればよいと誤解しているケースも少なくないでしょう。
誤解や理解不足などから対応を誤ると、本人から損害賠償請求などがなされる可能性があります。
個人情報保護法を遵守し第三者提供を適切に行うには、弁護士のサポートを受けることをおすすめします。
まとめ
個人情報保護法の規定に基づき、個人データを第三者提供する際のルールなどをくわしく解説しました。
個人情報を第三者提供する際は、原則として本人の同意を得なければなりません。
ただし、所定の措置を講じることで、オプトアウト方式による第三者提供も可能です。
個人情報の第三者提供を適切に行うため、第三者提供をしようとする際には、弁護士のサポートを受けることをおすすめします。
Authense法律事務所では企業法務に特化したチームを設けており、個人情報保護法の遵守についても多くのサポート実績があります。
はじめて個人情報の第三者提供をしようとする際や、自社における第三者提供の措置が適切であるか確認したい場合は、Authense法律事務所までお気軽にご相談ください。