個人情報保護法では、個人データを本人の同意なく第三者へ提供することを原則禁止しています。しかし、商品の配送やデータ処理など、利用目的の達成に必要な範囲内で業務を外部に「委託」する場合は例外であり、本人の同意を得ずにデータを提供できます。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人データの第三者提供とは

1 条文の確認

個人情報の第三者への提供に関する原則を規定した条文は、個人情報保護法27条1項になります。

【個人情報保護法第27条第1項】
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(以下略)

つまり、個人情報保護法は、「個人データ」について、原則として本人の同意なく第三者に提供してはならないと規定しています。

2 「個人データ」とは

「個人データ」とはどういったものなのかについては、個人情報保護法16条3項に規定されています。

【個人情報保護法第16条第3項】
この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

つまり、「個人データ」とは、「個人情報データベース」等を構成する個人情報が該当するということになります。

3 「個人情報データベース」とは

「個人情報データベース」の内容については、個人情報保護法16条1項に規定されています。

【個人情報保護法第16条第1項】
この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

つまり、「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成されている、個人情報を含む情報の集合物をいいます。

なお、この検索性については、コンピュータを用いる場合のみならず、紙に記載されている個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるようになっており、他人によっても容易に検索可能な状態に置いているものも該当するとされています。

第3 個人データの第三者提供の原則と例外

1 原則

上記のとおり、個人情報保護法27条1項において、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と規定されています。

つまり、本人の同意が無ければ、個人データを第三者に提供してはならない、ということが大原則となっています。

2 委託の例外

もっとも、個人情報保護法では、例外として、本人の同意が無くても第三者への個人データの提供が認められるケースがあります。

そのうちの1つが、「委託」というものになります。

形式的には第三者に対する個人データの提供であっても、本人との関係において、第三者が提供主体である事業者と一体のものとして取り扱うことに合理性がある場合には、同意を必要としません。

利用目的の達成に必要な範囲内という限定ですが、個人データの取扱いに関する業務の全部又は一部を委託することにともなって個人データが提供される場合、その提供先は第三者に該当しません。提供先は、委託された業務の範囲内でのみ、個人データを取り扱うことができます。

なお、個人情報取扱事業者には、個人情報保護法の第25条により、委託先に対する監督責任が課されます。

例えば、注文を受けた商品の配送のために、宅配業者に個人データを提供する場合や、個人情報の打ち込みや処理を外部業者に依頼するために提供する場合などがあります。

第4 まとめ

個人データの委託は珍しいものではないですが、対応を間違えると、個人情報の漏えいや不適切な利用となってしまう可能性があります。

ご相談
グリーンリーフ法律事務所は、設立以来35年の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。
企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書レビューも特定の弁護士が行います。このような専門性により、企業法務において大きな強みを持っています。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
  ※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士

弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治

弁護士のプロフィールはこちら

関連投稿:

  1. 個人情報の保護における「プライバシーマーク」とは。個人情報保護管理者には誰がなれるのか。
  2. 防犯カメラの映像は個人情報になる?
  3. 採用活動における応募者の履歴書について、個人情報保護法の注意点は?
  4. 「健康診断結果」の取り扱いに関する注意点について解説します