個人情報保護法は、直近では2020年6月5日に大きな改正が行われ、2022年4月1日より、この改正法は全面施行されています。
本稿では、この個人情報保護法に関連し、個人情報の共同利用について、ガイドラインの内容も紹介しながら解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
第2 個人情報の共同利用とは
1 個人データを第三者に提供するときの原則
事業者は、原則として、本人の同意が無ければ個人データ(個人情報データベース等を構成する個人情報)を第三者に提供することはできません。
【個人情報保護法第27条第1項】
「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(以下略)」
ここでの「第三者」には、グループ会社や親子兄弟会社、フランチャイズの本部と加盟店なども含まれます。
したがって、例えグループ会社内であっても、原則、個人データの交換をすることはできません。
2 共同利用の際の例外
もっとも、個人情報を提供する本人の観点からは、共同利用することがきちんと明示されていれば、複数の事業者を一体のものとして見ることができます。
そこで、個人情報保護法では、以下の規定が置かれています。
【個人情報保護法第27条第5項】
「次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1)(略)
(2)(略)
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」
この規定により、特定の者との間で個人データを共同利用する場合には、一定の事項を本人に通知するか、本人が容易に知り得る状態に置くことで、本人の同意を得なくても共同利用することが可能となります。
なお、「本人に通知」するとは、書面を渡す、口頭で知らせる、メールを送るなどの方法により、本人に直接知らせることを言います。
また、「本人が容易に知り得る状態に置く」とは、事務所や店舗に書面を掲示する・備え付ける、ホームページのわかりやすい場所に(プライバシーポリシー等の形で)掲載することなど、本人が簡単に知ることができる状態に置くことを言います。
3 共同利用する際に本人に通知等をしなければならない事項
個人情報保護法第27条第5項の第3号において、本人に通知するか、本人が容易に知り得る状態に置かなければならない事項をして定められているものは、以下のとおりです。
⑴ 共同利用する旨
個人情報を共同利用することを明示する必要があります。
⑵ 共同して利用される個人データの項目
氏名、住所、電話番号、購入履歴等、どのような内容の個人データを共同利用するかについて、示す必要があります。
⑶ 共同利用する者の範囲
共同利用する際には、本人にとって、どの事業者にまで自分の個人情報が共同利用されるのか、判断できる必要があります。
そこで、共同利用する者の範囲を示す必要があります。
なお、どの事業者にまで個人データが共同利用されるのかについて明確になっており、本人がその事業者まで個人情報が共同利用されることが判断できるのであれば、必ずしもすべての事業者の名称を列挙する必要まではありません。
⑷ 共同利用する者の利用目的
共同して利用する個人データについては、その利用目的の全てを、本人に通知するか、本人が容易に知り得る状態に置いていなければなりません。
なお、利用目的が個人データの項目によって異なる場合には、その個人データの項目ごとに、利用目的を区別して記載することが望ましいとされています。
⑸ 個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
「個人データの管理について責任を有する者」とは、開示請求等や苦情の受付、処理をするとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者を言います。
なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付や個人データの開示等を行う権限を有する者をいいます。
※ なお、個人情報保護法ガイドラインでは、上記の法律で決められている事項のほか、以下の事項を取り決めておくことが望ましいとされています。
・共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み)
・各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
・共同利用する個人データの取扱いに関する事項
・共同利用する個人データの取扱いに関する取決めが遵守されなかった場合の措置
・共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
・共同利用を終了する際の手続き
4 過去に取得した個人データを共同利用できるか
過去に取得した個人データについて、共同利用はできるのでしょうか。
⑴ 個人情報保護法第27条第5項第3号との関係
まず、個人データを共同利用する際には、個人情報保護法第27条第5項第3号記載の、
・共同利用する旨
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の利用目的
・個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
について、あらかじめ、本人に通知するか、本人が容易に知り得る状態に置いておく必要があります。
この「本人に通知」や「本人が容易に知り得る状態に置く」タイミングですが、個人データの共同利用を開始する前に行っておく必要があります。
⑵ 個人情報保護法第17条第1項との関係
もっとも、上記の個人情報保護法第27条第5項第3項の措置をおこなったとしても、下記の個人情報保護法第17条第1項の要件も検討しておく必要があります。
【個人情報保護法第17条第1項】
「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下 「利用目的」という。)をできる限り特定しなければならない。」
事業者は、本人から個人情報を取得する際に、利用目的を特定しておく必要があります。そして、この利用目的は、あらかじめ利用目的を公表しておくか、取得後すみやかに利用目的を本人に通知するか、公表しなければなりません(個人情報保護法第21条第1項)。
したがって、過去に個人情報を取得した際に、個人データが共同利用されることや、共同 して利用する者の範囲・利用目的等について、本人が通常予期しうると客観的に認められるような場合でなければなりません。
こちらの要件も満たしていれば、個人データの共同利用をすることができます。
第4 最後に
1 まとめ
個人データの共同利用は、有用性が高いと言えます。
もっとも、たとえグループ会社内であっても、無条件に共同利用できるわけではありません。きちんとルールを守らなければ、個人情報保護法に違反してしまうことになります。
そのため、共同利用に際しては、十分な注意を払う必要があります。
2 ご相談・ご質問
企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
※ 本コラムの内容に関するご相談・ご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネットの各会員様のみ受け付けております。
