元・企業内弁護士がわかりやすく解説!個人情報の第三者提供の4つのポイント

はじめに

ビジネスを行うに当たって、個人情報の取扱いは、気を遣いますよね。

特に自社が保有している個人情報に社外の者が関わる場合、例えばクラウドサービスを利用する場合等には、ドキドキしながら「まさか個人情報保護法に違反して第三者提供していないよね?本人の同意が不要な場面かな?」と確認することも多いと思われます。

このようなときに、個人情報の第三者提供の制限の理解があいまいだと、とても不安な気持ちになりますよね。

そして、そのような場合、自分で判断して大丈夫なのか、弁護士に相談した方がいいのか、弁護士に相談するにしても状況をどのように整理して伝えれば速やかに回答をしてもらえそうか等、考えがまとまらなくてビジネスのスピード感を損なってしまうこともあるかもしれません。

そうかといって、あいまいな理解のままで自ら「えいや!」と判断して、結果的に個人情報保護法に違反してしまったというのでは、個人情報保護が重要視されている昨今において、リスクが高い場合もあると思われます。

そこで、個人情報の第三者提供の制限の基本を押さえ、その規制の適用の有無の判断枠組みをクリアに理解し、実際に判断が必要となる場面において、自分で判断できそうか、それとも弁護士に相談するべきか、弁護士に相談するに当たってどんな情報を整理しておけば弁護士からスムーズに回答が得られそうか等について、速やかに方針を立てることができるようにしておく必要があります。

またこれは、事前に弁護士に相談すべきだったのに時間と手間と費用を惜しんでこれをせず、結果的に事後対応コストが高くつく、というリスクの低減にも資することでしょう。

そこで、この記事では、個人情報(個人データ)の第三者提供の制限の適用の有無の判断枠組み等、個人情報保護法の第三者提供の基本をわかりやすく解説します。

なお、2020年及び2021年改正個人情報保護法の施行日(2022年4月1日)が目前であることから、この記事では、当該施行日以降の個人情報保護法の内容、条文番号、ガイドラインを前提としていますのでご注意ください。

また、第三者提供の制限の適用の有無という基本部分にフォーカスして解説しますので、外国にある第三者への提供の制限(個人情報保護法28条関係)、第三者提供に係る記録の作成等(同法29条関係)、第三者提供を受ける際の確認等(同法30条関係)、個人関連情報の第三者提供の制限等(同法31条関係)についての解説は省略しています。

第三者提供の制限の適用の有無を判断するポイント

個人情報保護法27条1項は、次のように、第三者提供の制限の原則を定めています。

第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一〜七 〔略〕

したがって、第三者提供の制限の適用の有無、すなわち本人の事前同意が必要かどうかの判断に当たっては、

  1. 「個人データ」該当性
  2. 「提供」該当性
  3. 「第三者」該当性
  4. 例外規定(個人情報保護法27条1項各号)

がポイントになります。

それでは、これらの内容について確認していきましょう。

※個人情報保護法27条1項により本人の事前同意が必要な場合であっても、個人情報保護委員会への届出をすることにより、本人の事前同意を得ることなく個人データを第三者に提供することができますが(オプトアウトによる第三者提供。同条2項から4項まで)、基本部分に徹する趣旨から、この記事では扱いません。なお、オプトアウトによる第三者提供は、主に名簿業者を想定した制度といわれています。例えば、コンプライアンスチェックで皆さんにもお馴染みの「日経テレコン」の日本経済新聞社さんも、この届出を行っています。

※外国にある第三者への提供(個人情報保護法28条)については、「第三者」の内容が同法27条の場合と異なる等、本人の事前同意の要否判断の枠組みが異なっていますので、ご注意ください。

「個人データ」該当性(ポイント①)

「個人データ」とは?

まず、「個人データ」の定義を押さえるため、「個人情報」の定義から順を追って確認していきましょう。

個人情報の定義

「個人情報」とは、次のものをいいます(個人情報保護法2条1項)。

①「生存する個人に関する情報」であって、
②「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」
または
③DNAの塩基配列、指紋や静脈、虹彩等の生体情報、基礎年金番号、マイナンバー等の「個人識別符号が含まれるもの」

具体例としては、本人の氏名(氏名のみであっても個人情報と考えられています。)、防犯カメラに記録された情報等本人を識別できる映像情報、本人の氏名が含まれる等の理由により特定の個人を識別できる音声録音情報、特定の個人を識別できるメールアドレス等が挙げられます。

①「生存する個人に関する情報」であることが必要なので、死者の情報や法人そのものの情報は「個人情報」に該当しません。
もっとも、生存する遺族の情報や法人の役職員に関する情報は「個人情報」に該当しますので、注意が必要です。

個人データの定義

このような個人情報を整理して検索することができるようにしたら、ビジネス上、価値の高い、また便利なデータベースになりますよね

このように、個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したものや、例えば、名刺を五十音順に整理してインデックスを付したファイルのように、一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものを、「個人情報データベース等」(個人情報保護法16条1項)といいます。ただし、市販の電話帳等、政令で定めるものは、除かれます。

そして、個人情報データベース等を構成する個人情報を、「個人データ」といいます(同条3項)。

個人情報の集合は、未整理でバラバラな状態であるよりも、体系的に整理して簡単に検索することができるようにした状態である方が、欲しい情報にすぐアクセスして抽出できて使い勝手もよいですよね。

しかし、「便利な分だけ、濫用されたり漏えいしたりした場合に、より多くの人へ、より大きなダメージや不利益が発生し得るから、単なる個人情報よりもリスクが高いよね。」という観点から、より強い規制を及ぼす「個人データ」というカテゴリーを作ったのだと考えられます。

ネットバンキングにおいて2段階認証がなければユーザーとしては楽ちんである反面、不正アクセスによる被害等のリスクが高まるのと同様、利便性が増すと悪用のリスクが増すことがあるという視点は、コンプライアンス業界あるあるですね。

個人情報データベース等、個人データに該当する具体例、該当しない具体例

個人情報データベース等の具体例としては、スマホやPCのアドレス帳、アプリ等のユーザーIDに紐づけて購入履歴や行動履歴等を記録したファイル(ユーザーID等と他の情報を容易に照合し、特定の個人を識別することができる場合)を挙げることができます。

他方、政令で個人情報データベース等から除外されるものの具体例としては、市販の電話帳、住宅地図、職員録、カーナビ等を挙げることができます。

そして、個人データの具体例としては、個人情報データベース等から抽出してUSBメモリ等に保存したり、紙にプリントしたりした個人情報が挙げられます。

他方、個人データに該当しない具体例としては、個人情報データベース等に登録する前の、申込書等に記載されている個人情報が挙げられます。

小括

上記の「個人データ」に該当しない場合、個人情報保護法27条1項に規定する本人の同意は不要となります。

「提供」該当性(ポイント②)

「提供」の定義

個人情報保護法における「提供」とは、個人データ等を、自分以外の者が利用可能な状態に置くことをいいます。

クラウドサービスの利用に当たっての本人の同意の要否

近年、個人も法人もクラウドサービスを利用する機会が増えましたね。

そして、クラウドサービスの内容によっては、個人データを含む情報をクラウドサービス業者の提供するサーバに保存することがあります。

この場合に、本人の同意が必要となるのでしょうか?

この問題のポイントは、「提供」該当性、すなわち、クラウドサービス業者が個人データを利用可能な状態かどうかという点にあります。

そして、クラウドサービス業者が個人データを取り扱わないこととなっている場合には、個人データの「提供」がないことになります。その結果、本人の事前同意は不要です。

このような、クラウドサービス業者が個人データを取り扱わないこととなっている場合の具体的としては、クラウドサービス業者が「契約条項によって…サーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」が考えられます(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」57ページ)。

小括

上記の「提供」に該当しない場合、個人情報保護法27条1項に規定する本人の同意は不要となります。

「第三者」該当性(ポイント③)

「第三者」の定義

「第三者」とは、一般に、個人データにより特定される本人、個人データを提供しようとする個人情報取扱事業者以外の者をいいます。生身の人間か法人その他の団体かは問いません。

大雑把なイメージとしては、最強先が、本人や提供元と「別人かどうか?」が判断のポイントです。同じファミリーやグループやお仲間であっても、「別人かどうか?」で判断します。

「第三者」に該当する具体例、該当しない具体例

ですので、生身の人間である本人のパートナーも子どもも「第三者」です。
個人データを、うっかり本人の家族に提供してしまう事態は発生しやすいので、注意が必要です。

そして、個人データを提供しようとしている会社にとって、親会社、子会社、兄弟会社、グループ会社は「第三者」です。別法人だからです。

また、フランチャイズの本部である会社と加盟店も、お互いに「第三者」です。

ですので、個人データの第三者提供については、基本的に「家族も仲間も、結局、他人」と思っておくと良いと思われます。

他方、株式会社Aのある部門が、同じ株式会社Aの他の部門に個人データを提供する場合、提供元である株式会社Aにとって、提供先である株式会社Aは、自分自身なので、「第三者」ではありません。
もちろん、他部門への個人情報の提供が、利用目的の範囲を超える場合は、別途、利用目的による制限(個人情報保護法18条)が及びますので、ご注意ください。

「第三者」に該当しないものとして扱われるもの

個人データの提供先が、提供元の個人情報取扱事業者とは「別人」であり形式的には「第三者」に該当するものの、個人データの本人との関係では、提供元と提供先を一体のものとして考えるのが合理的な場合もあります。

そこで、個人情報保護法27条5項は、次の場合、同条1項から4項までの適用については、個人データの提供先は「第三者」に該当しないものとする旨を定めています。

これらの場合、個人データの提供に当たって、本人の事前同意が不要となります。

委託

提供元が利用目的の達成に必要な範囲内において個人データの取扱いを委託することに伴い個人データを提供する場合、委託先は「第三者」に該当しないものされます。

具体例としては、データの打ち込み等のために個人データを提供する場合等が挙げられます。

この場合、提供元は、委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行う義務を負うので、注意が必要です(個人情報保護法25条)。
具体的には、提供元は、個人情報保護法23条に基づいて自分が講ずべき安全管理措置と同等の措置が講じられるよう、委託先の監督を行うものとされています。

その際、次の措置を必要適切に行うことが求められます。

  • 適切な委託先の選定
  • 委託契約の締結(委託先における委託された個人データの取扱状況を、提供元が合理的に把握することができるようにする規定を置くことが望ましいです。)
  • 委託先における個人データ取扱状況の把握

事業の承継

合併その他の事由による事業の承継に伴って個人データが提供される場合、事業の承継先は「第三者」に該当しないものとされます。

特にスタートアップは、合併や事業譲渡等によるEXITを目指すことも多いと思われるところ、その際に、多数に上るユーザーから同意を取得しなければならないとすると、とても辛いので、同意不要となることは実務的にありがたいことです。

なお、事業の承継先の会社は、承継前の利用目的の達成に必要な範囲を超えて、承継した個人情報を取り扱うことはできないので、注意が必要です(個人情報保護法18条2項)。本人の同意を取得しなければなりません。

また、事業承継に係る最終契約締結以前の交渉段階において、相手方から調査を受け、自社の個人データを相手方へ提供する場合も、この規定により本人の事前同意は不要とされています。もっとも、「当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない」ので、気を付ける必要があります(個人情報保護法ガイドライン(通則編)79ページ)。

共同利用

特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、次の情報を、あらかじめ本人に通知し、または本人が容易に知り得る状態に置いているとき、その共同利用者である提供先は「第三者」に該当しないものとされます。

  • 共同利用をする旨
  • 共同利用される個人データの項目
  • 共同利用者の範囲
  • 共同利用者の利用目的
  • 当該個人データの管理責任者の氏名・名称、住所及び法人にあっては法人代表者の氏名に

具体例としては、グループ会社内における緊急連絡先名簿の共有が挙げられます。また、フィナンシャルグループ内での顧客情報の共同利用もよく見受けられますね。

小括

上記の「第三者」に該当しない場合、個人情報保護法27条1項に規定する本人の同意は不要となります。

例外規定(ポイント④)

「個人データ」の「第三者」「提供」に該当する場合でも、次の場合は、例外的に、本人の同意は不要となります(個人情報保護法27条1項各号)。

なお、既にご案内のとおり、この記事では、オプトアウトによる第三者提供(個人情報保護法27条2項から4項まで)についての解説は行いません。

法令に基づく場合

他の法令に基づき個人データを提供する場合との調整を図る観点から、個人情報保護法27条1項の本人の同意を不要としていると考えられます。

具体例としては、金融機関等による疑わしい取引の届出、税務署長に対する支払調書等の提出、税務官署の職員の質問検査への対応、株主名簿閲覧請求への対応等が挙げられます。

人の生命・身体・財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

人の生命、身体、財産といった具体的な権利利益が侵害されるおそれが高まっている場合に、本人の同意を得ることが困難なときに限り、人の生命等の保護のために本人の同意を不要とすることは、やむを得ないし合理的であるという判断に基づくものと考えられます。

公衆衛生の向上・児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

公衆衛生の向上、児童虐待防止等の児童の健全育成推進は、社会内のネットワーク・協力関係により担われていることに配慮した規定であると考えられます。

国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

具体例としては、税務官署の職員や地方公共団体の税務担当職員が、質問検査権等の規定によらずに任意調査を行う場合や、行政機関の職員が、助成金支給のための事実関係の調査として事業者に情報提供を求める場合等を挙げることができます。

学術研究分野における個人データの第三者提供

従来、大学等の学術研究を目的とする機関・団体、それらに所属する者については、学術研究の用に供する目的で個人情報等を取り扱う限り、個人情報取扱事業者の義務等の規定の適用が一律に除外されていました。

しかし、学術研究分野を含めたGDPRの十分性認定への対応を目指す観点から、学術研究に係る適用除外規定の見直しが行われ、2022年4月1日からその取扱いが変わります。

そして、個人データの第三者提供との関係では、次の例外規定が定められています。ただし、個人の権利利益を不当に侵害するおそれがある場合は除かれます。

  • 学術研究機関等による個人データの提供が学術研究の成果の公表・教授のためやむを得ないとき。
  • 学術研究機関等が、共同研究を行う第三者に対し、個人データを学術研究目的で提供する必要があるとき。
  • 提供先となる学術研究機関等が、個人データを学術研究目的で取り扱う必要があるとき。

まとめ

以上をまとめると。次のとおりとなります。

個人データの第三者提供は、個人情報保護をめぐるコンプライアンスの基本的かつ重要なテーマです。ですので、もし判断に迷う場合には、専門家に相談して対応することをお勧めします。

弊所では、マイナンバー法改正の際の修正案立案チームのメンバーであり、また、企業内弁護士として個人情報保護体制整備に関する豊富な実務経験と実績を有する弁護士が、個別のご相談に応じ、社内体制整備に関する支援を行っています。

  • 個人情報保護法27条1項の本人の事前同意が必要かどうかは、まず、「個人データ」該当性、「提供」該当性、「第三者」該当性の3つがポイントになる。
  • 「個人データ」の「第三者」「提供」に該当する場合、同項各号の例外規定に該当しないかがポイントになる。

おかげ様で、多くのみなさんからご相談いただいています。
お気軽にお問い合わせください。

お問い合わせはこちらから