個人情報を共同利用する際のルールとは？

　個人情報保護法では、個人情報のデータを第三者に提供するときは、原則として本人の同意を得なければなりませんが、その例外として「共同利用」というものがあります。

　本稿では、個人情報の共同利用について、ガイドラインの内容も紹介しながら解説します。

第１　個人情報保護法に関する基礎知識

１　個人情報保護法とは

　　個人情報保護法（正式名称：個人情報の保護に関する法律）は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

　　平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

２　個人情報とは（概要）

　　　個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの（氏名、住所、生年月日等）及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています（個人情報保護法第２条第１項）。　

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人（企業や団体など）は生きている個人ではないため、法人情報は「個人情報」に含まれません（もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。）。

第２　個人情報の共同利用とは

１　個人データを第三者に提供するときの原則

個人情報取扱事業者（以下、このコラムにおいては、単に「事業者」とします。）は、原則として、本人の同意が無ければ個人データ（個人情報データベース等を構成する個人情報）を第三者に提供することはできません。

【個人情報保護法第２７条第１項】

「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（以下略）」

　　ここでの「第三者」には、グループ会社や親子兄弟会社、フランチャイズの本部と加盟店なども含まれます。

したがって、グループ会社内であっても、原則、個人データの交換をすることはできません。

２　共同利用の際の例外

もっとも、共同利用することがきちんと明示されていれば、個人情報を提供する側も予測をすることができ、複数の事業者を一体のものとして見ることができます。

そこで、個人情報保護法では、以下の規定が置かれています。

【個人情報保護法第２７条第５項】

「次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

(1)（略）

(2)（略）

(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」

この規定により、特定の者との間で個人データを共同利用する場合には、あらかじめ一定の事項を本人に通知するか、本人が容易に知り得る状態に置くことで、本人の同意を得なくても共同利用することが可能となります。

なお、「本人に通知」するとは、書面を渡す、口頭で知らせる、メールを送るなどの方法により、本人に直接知らせることを言います。

また、「本人が容易に知り得る状態に置く」とは、事務所や店舗に書面を掲示する・備え付ける、ホームページのわかりやすい場所に（プライバシーポリシー等の形で）掲載することなど、本人が簡単に知ることができる状態に置くことを言います。

３　共同利用する際に本人に通知等をしなければならない事項

個人情報保護法第２７条第５項の第３号において、本人に通知するか、本人が容易に知り得る状態に置かなければならない事項をして定められているものは、以下のとおりです。

⑴　共同利用する旨

　当然のことながら、個人情報を共同利用することを明示する必要があります。

⑵　共同して利用される個人データの項目

氏名、住所、電話番号、購入履歴など、どのような内容の個人データを共同利用するかについて、示す必要があります。

⑶　共同利用する者の範囲

　共同利用する際には、本人にとって、どの事業者にまで自分の個人情報が共同利用されるのか、判断できる必要があります。

そこで、共同利用する者の範囲を示す必要があります。

なお、どの事業者にまで個人データが共同利用されるのかについて明確になっており、本人がその事業者まで個人情報が共同利用されることが判断できるのであれば、必ずしもすべての事業者の名称を列挙する必要まではありません。

たとえば、「当社のグループ企業」という表記にして、グループ企業をホームページ上で公表しておくという方法もありえます。

⑷　共同利用する者の利用目的

　共同して利用する個人データについては、その利用目的の全てを、本人に通知するか、本人が容易に知り得る状態に置いていなければなりません。

なお、利用目的が個人データの項目によって異なる場合には、その個人データの項目ごとに、利用目的を区別して記載することが望ましいとされています。

⑸　個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

　「個人データの管理について責任を有する者」とは、開示請求等や苦情の受付、処理をするとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者を言います。

なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付や個人データの開示等を行う権限を有する者をいいます。

また、共同利用する者それぞれについて、責任を有する者とすることもできます。

４　過去に取得した個人データを共同利用できるか

それでは、過去に取得した個人データについては、共同利用はできるのでしょうか。

⑴　個人情報保護法第２７条第５項第３号との関係

まず、個人データを共同利用する際には、個人情報保護法第２７条第５項第３号記載の、

・共同利用する旨

・共同して利用される個人データの項目

・共同して利用する者の範囲

・利用する者の利用目的

・個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

について、あらかじめ、本人に通知するか、本人が容易に知り得る状態に置いておく必要があります。

この「本人に通知」や「本人が容易に知り得る状態に置く」タイミングですが、個人データの共同利用を開始する前に行っておく必要があります。

⑵　個人情報保護法第１７条第１項との関係

もっとも、上記の個人情報保護法第２７条第５項第３項の措置をおこなったとしても、下記の個人情報保護法第１７条第１項の要件も検討しておく必要があります。

【個人情報保護法第１７条第１項】

「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下 「利用目的」という。）をできる限り特定しなければならない。」

　事業者は、本人から個人情報を取得する際に、利用目的を特定しておく必要があります。そして、この利用目的は、あらかじめ利用目的を公表しておくか、取得後すみやかに利用目的を本人に通知または公表しなければなりません（個人情報保護法第２１条第１項）。

　したがって、過去に個人情報を取得した際に、個人データが共同利用されることや、共同 して利用する者の範囲・利用目的等について、本人が通常予期しうると客観的に認められるような場合でなければなりません。

　当時、共同利用に関する規定を置いていない、あるいは、不十分であれば、残念ながら共同利用の例外は適用されません（もっとも、原則に立ち返り、本人の同意を得るならば第三者提供も可能です。）

　一方で、個人情報の取得時に、上記の予期が可能な状況であれば、共同利用の例外規定を使うことができます。

第４　最後に

１　まとめ

個人データの共同利用は、有用性が高いと言えます。

もっとも、たとえグループ会社内であっても、無条件に共同利用できるわけではありません。きちんとルールを守らなければ、個人情報保護法に違反してしまうことになります。

共同利用に際しては、十分な注意を払う必要があります。