個人情報保護法は、直近では2020年6月5日に大きな改正が行われ、2022年4月1日より、この改正法は全面施行されています。

 本稿では、個人データの第三者への提供について、条文やガイドラインの内容を中心に解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

  個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

  平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

   個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人データの第三者提供とは

1 法律上のルール

   個人情報の第三者への提供に関する原則を規定した条文は、個人情報保護法第27条第1項になります。

  【個人情報保護法第27条第1項】

  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(以下略)

   つまり、個人情報保護法は、「個人データ」について、原則として「本人の同意」なく、第三者に提供してはならないと規定しています。

 2 「個人データ」とは

   「個人データ」とはどういったものなのかについては、個人情報保護法第16条第3項に規定されています。

 

  【個人情報保護法第16条第3項】

この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

 つまり、「個人データ」とは、「個人情報データベース」等を構成する個人情報が該当するということになります。

 3 「個人情報データベース」とは

   つぎに、「個人情報データベース」の内容については、個人情報保護法第16条第1項に規定されています。

  【個人情報保護法第16条第1項】

この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

   つまり、「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成されている、個人情報を含む情報の集合物をいいます。

なお、この検索性については、コンピュータを用いる場合のみならず、紙に記載されている個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるようになっており、他人によっても容易に検索可能な状態に置いているものも該当すると考えられています。

第3 個人データの第三者提供の原則と例外

1 原則

上記のとおり、個人情報保護法第27条第1項において、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と規定されています。

つまり、本人の同意が無ければ、個人データを第三者に提供してはならない、ということが大原則となっています。

なお、親会社と子会社で個人データの授受をする場合や、フランチャイズの本部と加盟店の間で個人データの授受をする場合も、一見すると同じグループ内でのやり取りなので許されるように思えますが、法律上の第三者への提供となりますので、注意が必要です。

また、学校等から企業に対して、卒業生のリストをいただきたいという要望がなされることもありますが、これも第三者提供にあたります。よって、該当する従業員から同意を取らなければなりません。

2 例外

もっとも、以下の場合には、例外として本人の同意が無くても、第三者への個人データの提供が認められています。

・法律上の例外規定に該当する場合

・オプトアウトによる第三者への提供の場合

・そもそも第三者に該当しないとされている場合

この3つの場合について、詳しく説明していきます。

第4 本人の同意が無くても第三者に個人データを提供できる場合

1 法律上の例外規定に該当する場合

個人情報保護法第27条第1項には、本人の同意を得ないで、個人データを第三者に提供できる場合として、以下の規定があります。

⑴ 法令に基づく場合(個人情報保護法第27条第1項第1号)

⑵ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(個人情報保護法第27条第1項第2号)

⑶ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(個人情報保護法第27条第1項第3号)

⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(個人情報保護法第27条第1項第4号)

⑸ 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。(個人情報保護法第27条第1項第5号)

⑹ 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。(個人情報保護法第27条第1項第6号)

⑺ 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。(個人情報保護法第27条第1項第7号)

  このうち、民間の企業において関係することが多いと思われる、⑴~⑷について見ていきます。

⑴ 法令に基づく場合

  法令に基づく場合とは、具体的には以下のようなケースが考えられます。

  ・警察からの捜査関係事項照会(刑事訴訟法第197条第2項)に応じる場合

・裁判官の発する令状に基づく捜査(刑事訴訟法第218条)に応じる場合

・弁護士会からの照会(弁護士法第23条の2)に応じる場合

・税務署の所得税等に関する調査(国税通則法第74条の2等)に対応する場合

これらは、刑事訴訟法や弁護士法といった法律に基づく照会に対して、個人データを提供するものです。

したがって、法令に基づく場合として、本人の同意が無くても第三者への提供をすることができます。

⑵ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

  人の生命や身体、財産といった具体的な権利利益を保護する必要性があり、かつ、本人の同意を得ることが困難である場合が想定されています。

具体的には、以下のようなケースが考えられます。

・急病等が生じた際に、血液型や家族の連絡先等を医師らに提供する場合

・大規模な災害が発生した際に、被災者や負傷者の情報等を、家族や行政等に提供する場合

⑶ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

  公衆衛生の向上や、心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合が想定されています。

  具体的には、以下のようなケースが考えられます。

  ・児童の不登校や不良行為等について、児童相談所や学校などの関係機関が連携して対応するために、それぞれの機関の間で、その児童に関して保有する情報を交換する場合

・児童虐待のおそれのある家庭の情報について、児童相談所や警察、学校、病院等が共有する必要がある場合

⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

  国の機関や地方公共団体、その委託を受けた者が、法令の定める事務を遂行する上で、企業等の協力を得る必要があり、かつ、本人の同意を得ることによりその事務の遂行に支障が出るおそれがあると認められる場合が想定されています。

  具体的には、以下のようなケースが考えられます。

  ・事業者が、税務署や税関の職員等の任意の求めに応じて、保有する個人データの資料等を提出する場合

  ・一般統計調査や地方公共団体が行う統計調査に対して応じる場合

2 オプトアウトによる第三者への提供の場合

⑴ 制度の概要

  オプトアウトという制度に関しては、個人情報保護法に以下の規定があります。

  

  【個人情報保護法第27条第2項】

  個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

  つまり、個人データを第三者に対して提供するに当たり、

・所定の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置き

・個人情報保護委員会に届け出る

ことによって、本人の同意が無くても、個人データを第三者に提供することができます。

「本人が容易に知り得る状態」とは、時間的にも方法としても簡単に知ることができる状態のことで、例えば、ホームページのトップページから1回のクリックで開けるページなどが考えられます。

  なお、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害にあった事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの)については、オプトアウトにより第三者に提供することはできません。

その他、オプトアウトにより提供を受けた個人データを再度オプトアウトにより第三者に提供することや、不正取得された個人データをオプトアウトにより第三者に提供することもできません。

これらの点には注意する必要があります。

⑵ 届出事項

  オプトアウトの制度において、本人への通知または知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない事項は、以下の9点です。

① 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名(個人情報保護法第27条第2項第1号)

② 第三者への提供を利用目的とすること。(個人情報保護法第27条第2項第2号)

※ 利用目的は具体的にわかる内容とする必要があり、「等」や「その他」といったあいまいな記載は望ましくないとされています。

  例えば、「○○の商品を購入した者の名簿を作成し、販売することで、個人データを第三者に提供する」といった記述が考えられます。

③ 第三者に提供される個人データの項目(個人情報保護法第27条第2項第3号)

※ ここでは、オプトアウトにより第三者に提供される個人データの項目(氏名、住所、電話番号、年齢等の項目)を網羅的に示す必要があります。なお、明示していない個人データの項目は、オプトアウトにより第三者に提供できません。

④ 第三者に提供される個人データの取得の方法(個人情報保護法第27条第2項第4号)

    ※ 第三者に提供される個人データについて、取得元(このようなツールから取得したのか)、および、取得の方法を示す必要があります。

⑤ 第三者への提供の方法(個人情報保護法第27条第2項第5号)

    ※ 出版物としての販売、インターネットへの掲載による公開、電磁的記録による交付など、提供の方法を示します。

⑥ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。(個人情報保護法第27条第2項第6号)

⑦ 本人の求めを受け付ける方法(個人情報保護法第27条第2項第7号)

※ メール、郵便、FAXなどの方法のほかに、本人が求めを行う連絡先(事業者の名称、担当の窓口の名称、郵送先の住所、送信先のメールアドレス等)が含まれます。

⑧ 第三者に提供される個人データの更新の方法(個人情報保護法第27条第2項第8号、個人情報保護法施行規則第11条第4項第1号)

⑨ 当該届出に係る個人データの第三者への提供を開始する予定の年月日(個人情報保護法第27条第2項第8号、個人情報保護法施行規則第11条第4項第2号)

3 第三者に該当しないとされている場合

   個人情報保護法では、個人データの提供を受ける側の第三者について、以下のような規定を置いています。

   【個人情報保護法第27条第5項】

   次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

⑴ 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

⑵ 合併その他の事由による事業の承継に伴って個人データが提供される場合

⑶ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

これらの場合には、形式的には個人データの提供元と提供先は別であるものの、本人との関係において両者を一体のものとする、という取り扱いに合理性があるとされています。

そのため、本人の同意を得ていない場合や、オプトアウトの手続きをしていないという場合でも、個人データを提供することができます。

上記の規定で定められている3つの場合を見ていきます。

⑴ 委託(個人情報保護法第27条第第5項第1号)

利用目的の達成のために必要な範囲内で、個人データの取扱いに関する業務を全部又は一部について委託する場合です。

このような場合に個人データが提供されるときは、個人データの提供先は第三者に該当しません。

例えば、注文を受けた商品を顧客に発送するために、宅配業者に個人データを提供するといったケースが考えられます。

なお、個人情報取扱事業者には、委託先に対する監督責任が課されています(個人情報保護法第25条)ので、注意する必要があります。

⑵ 事業の承継(個人情報保護法第27条第第5項第2号)

会社の合併や分社化、事業譲渡などによって事業が承継されることに伴い、その事業に関する個人データが提供される場合です。

このような場合も、提供元と提供先を一体のものとして取扱うことに合理性があるとして、提供先は第三者には該当しません。

なお、事業が承継された後も、提供された個人データについては、提供前の利用目的の範囲内で利用しなければならない点には留意する必要があります。

⑶ 共同利用(個人情報保護法第27条第第5項第3号)

特定の者との間で、共同して個人データを利用する場合です。

以下の5点の情報を、提供に際してあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、個人データの提供先は、本人から見て、提供元の事業者と一体のものとして取り扱われることに合理性があるため、第三者には該当しません。

① 共同利用をする旨

② 共同して利用される個人データの項目

③ 共同して利用する者の範囲

  ※ なお、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで将来利用されるか判断できる程度には明確にしなければなりません。

④ 利用する者の利用目的

⑤ 当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

例えば、グループ企業内において事業のために個人データを共同利用したい、というような場合には、この規定を利用することが考えられます。

第5 まとめ

個人データの第三者への提供に関しては、対応を間違えると、個人情報保護法に違反することになってしまいます。

場合によっては、マスコミに大きく報道されるなどによって、企業にとって大きなダメージとなる可能性すらあります。

■この記事を書いた弁護士

弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治

弁護士のプロフィールはこちら