【図解】個人情報保護法➌第三者提供・委託・共同利用の区別
個人情報保護法は個人情報を第三者に渡す行為(第三者提供)を禁止し(個人情報保護法27Ⅰ)、
その違反には、個人情報保護委員会が中止その他違反是正措置の勧告権限、命令権限、違反者名を公表する権限を与えています(法145)。また、第三者提供をした者及び第三者提供を受けた者に対して記録の作成及び保管義務を課しています(法29、30)。
一方で、「委託」と「共同利用」の場合には、「第三者提供」に該当しないと定めています(法27Ⅴ)。
そこで「第三者提供」「委託」「共同利用」の区別を明確にする必要があります。
上記のみに論点を絞って、短くまとめました。
【凡例】
- 法:個人情報の保護に関する法律(個人情報保護法)
- 施行令:個人情報の保護に関する法律施行令(政令)
- 規則:個人情報の保護に関する法律施行規則
- ガイドライン:個人情報の保護に関する法律についてのガイドライン
- Q&A:「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
- パブリックコメント:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について/個人情報保護委員会/2016.10.5
第三者提供、委託、共同利用の区別
| 第三者提供 | 委託 | 共同利用 | |
|
定 義 |
「委託」「共同利用」以外で第三者に個人情報を渡すこと。 |
「委託」は25条と同義である【1】。個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される【2】。「提供先において、提供元の利用目的でのみ利用しており、独自の利用目的では利用してない場合」を委託という【3】。 |
「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである【6】。 |
|
具 体 例 |
|
|
|
|
効 果 と 義 務 |
●原則:本人の同意なく、個人情報の提供禁止(27Ⅰ) ●例外:法令に基づく場合ほか(27Ⅰ①~⑦、Ⅴ②) ●例外:あらかじめ本人に通知又は容易に知り得る状態に置く措置+個人情報保護委員会への届出をすれば、オプトアウト方式も採用できる(27Ⅱ) ●第三者提供情報の記録作成義務(29、30) ●個人情報保護法上、提供者には第三者(個人情報受領者)の監督義務はありません。ただし、万一、貴社が第三者に提供した情報が第三者からであっても漏洩した場合、貴社も風評被害を受ける可能性があります。 |
●「利用目的の達成に必要な範囲内であれば」本人の同意なく個人データを提供できる(27Ⅴ①)。 ●委託元には委託先に対する監督義務(25) ├適切な委託先の選定義務 ├委託契約の締結義務 └委託先における個人データの取扱状況を把握する義務【9】 |
●本人の同意なく個人データを提供できる(27Ⅴ③)。 ●共同利用する個人データの項目、共同利用者の範囲、利用者の利用目的、個人データ管理責任者の氏名・名称・住所・代表者の氏名をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置く義務(27Ⅴ③) ●上記に変更があったときにはあらかじめ本人に通知し、又は本人が容易に知り得る状態に置く義務(27Ⅵ) |
【1】石井夏生利・曽我部真裕・森亮二・編著/個人情報保護法コンメンタール/勁草書房/2021年/306頁
【2】平成28年11月(令和3年1月一部改正)/個人情報保護委員会/個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」といいます。)44頁(※1)
【3】影島広泰/『改正個人情報保護法対応ブック』(ぎょうせい、2017年)99頁
【4】事例1)事例2)ともに、個人情報保護法ガイドライン(通則編)52頁
【5】郵送・配送は、一般的に個人データの取り扱いの委託となります(ガイドラインパブコメNo.498)。郵便局や配送業者は封筒の中身については関知しませんので、封筒の中に個人データが含まれていてもその個人データの取扱いを委託したことにはなりません(Q&A「Q5−26」参照)。しかし、宛先の記載は多くの場合個人データに該当しますので、その点で委託になる【5】。
影島広泰/『改正個人情報保護法対応ブック』(ぎょうせい、2017年)81頁
【6】したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別にすべて列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない(以上、ガイドライン53 頁(3-4-3)。)。
例えば「当社の子会社及び関連会社」といった表記の場合、当該子会社及び関連会社の全てがホームページ上で公表されていれば【7】「共同利用者範囲が明確」になっているといえる。
「弊社が適当と認める者」というような定め方は、外部の者からみてその外延が不明確であるから、本号の要件を満たさない【8】。
【7】平成29年2月16日(令和3年6月30日更新)/個人情報保護委員会/「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(以下「ガイドラインQ&A」といいます。)38 頁(5-28)
【8】園部逸夫・藤原静雄・編集/個人情報保護法制研究会・著/ぎょうせい/2018年/188頁
【9】ガイドライン42頁(3-3-4)
委託と共同利用の区別は難しい。
委託と共同利用の区別は、とても難しいです。
こちらの弁護士も、これらの区別は困難であることを分かりやすく執筆されていますので、ご参照ください。弁護士水町雅子/個人情報保護法上、個人データ提供が可能な「委託」「共同利用」の区別等の疑問/弁護士水町雅子のIT情報ブログ/最終アクセス220407
プライバシーポリシー・個人情報保護方針の作成や改訂はお任せください。
人気の関連ページ
あなたのまちの司法書士事務所グループ
~全てはお客様の安心のために~
①依頼内容が難しくても...絶対断らないハートと
②兵庫県8(神戸、尼崎、三田、西宮)+東京3+北海道1
