個人データの第三者提供では、原則として本人の同意が必要です。しかし「共同利用」という例外規定を利用すれば、同意なしで他の会社との共同利用が可能になります。個人情報保護法の原則や共同利用のルールについて解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人データの第三者提供とは

1 条文の確認

個人情報の第三者への提供に関する原則を規定した条文は、個人情報保護法27条1項になります。

【個人情報保護法第27条第1項】

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(以下略)

つまり、個人情報保護法は、「個人データ」について、原則として本人の同意なく第三者に提供してはならないと規定しています。

2 「個人データ」とは

「個人データ」とはどういったものなのかについては、個人情報保護法16条3項に規定されています。

【個人情報保護法第16条第3項】

この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

つまり、「個人データ」とは、「個人情報データベース」等を構成する個人情報が該当するということになります。

3 「個人情報データベース」とは

「個人情報データベース」の内容については、個人情報保護法16条1項に規定されています。

【個人情報保護法第16条第1項】

この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

つまり、「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成されている、個人情報を含む情報の集合物をいいます。

なお、この検索性については、コンピュータを用いる場合のみならず、紙に記載されている個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるようになっており、他人によっても容易に検索可能な状態に置いているものも該当するとされています。

第3 個人データの第三者提供の原則と例外

1 原則

上記のとおり、個人情報保護法27条1項において、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と規定されています。

つまり、本人の同意が無ければ、個人データを第三者に提供してはならない、ということが大原則となっています。

2 共同利用の例外

もっとも、個人情報保護法では、例外として、本人の同意が無くても第三者への個人データの提供が認められるケースがあります。

そのうちの1つが、「共同利用」というものになります。

特定の者との間で、共同して個人データを利用する場合、以下の5点の情報を、提供に際してあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、個人データの提供先は、本人から見て、提供元の事業者と一体のものとして取り扱われることに合理性があるため、第三者には該当しません。

① 共同利用をする旨
② 共同して利用される個人データの項目
③ 共同して利用する者の範囲
※ なお、必ずしも事業者の名称等を個別に全て列挙する必要はありませんが、本人がどの事業者まで将来利用されるか判断できる程度には明確にしなければなりません。
④ 利用する者の利用目的
⑤ 当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

例えば、グループ企業内において事業のために個人データを共同利用したい、というような場合には、この規定を利用することが考えられます。

第4 まとめ

個人データの第三者への提供に関しては、対応を間違えると、個人情報の漏えいや不適切な利用となってしまう可能性があります。

ご相談
グリーンリーフ法律事務所は、設立以来35年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
  ※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士

弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治

弁護士のプロフィールはこちら

関連投稿:

  1. 企業リスクとしての個人情報保護
  2. 介護関係事業者において、個人情報保護のために知っておくべき知識
  3. 個人情報保護法における「匿名加工情報」とは?
  4. 個人情報を共同利用する際のルールとは?