1. /
  2. /
  3. 実例解説!プライバシーマークにおける個人情報の提供、委託、共同利用の違い

実例解説!プライバシーマークにおける個人情報の提供、委託、共同利用の違い

実例解説!プライバシーマークにおける個人情報の提供、委託、共同利用の違い

個人情報の第三者提供、委託、共同利用について、よくわからないという方は多い。

私自身や、現地審査を担当する審査官の方も判断に迷う事例が存在するので、あなたがよくわからないと思ったとしても当然のこととも言える。

なぜよくわからないかというと、個人情報の第三者提供、委託、共同利用には正式な定義(法令その他の規範に定められた定義)というものがないからである。

定義がはっきりしていれば判断に迷うことは少なくなるが、残念ながら現時点では定義は存在しない。

そのため、個人情報保護法、ガイドライン、ガイドラインのQ&Aに記載されている内容を元に「第三者提供、委託、共同利用」の意味について解説を行う。

出来る限り、実例も踏まえながら解説するので、個人情報の第三者提供、委託、共同利用について、よくわからないという人に是非読んでもらいたい。

個人情報の「第三者」とは

個人情報の第三者とは01

個人情報の第三者提供、委託、共同利用を理解するためにはまずは「第三者」について理解する必要がある。

第三者とは、個人情報を取得した事業者(あなたの会社のこと)と個人情報を提供した本人以外のすべての事業者や個人のことを言う。

個人情報を提供した本人と、その個人情報を取得した会社以外はすべて第三者になると言うことだ。

また、個人情報を取得した事業者(あなたの会社のこと)の範囲は、法人単位(組織単位)となることも理解しておこう。

例えば、代表取締役が同じである関連会社だとしても、法人が違えば、別の事業者となるため”原則”第三者となる。

個人情報の「提供」とは

「提供」とは「自分の持っている物をほかの人の役に立てるよう差し出すこと」を言う。
※出典:三省堂大辞林

つまり、個人情報の「提供」とは、「本人または事業者」の持っている「個人情報」を「本人または事業者以外」に差し出すことである。

「第三者」に個人情報を「提供」することを「個人情報の第三者提供」という。

個人情報の第三者提供は、個人情報保護法で明確に制限されており、原則、本人の同意がないとできない。

「第三者」の例外

個人情報の第三者とは02

上述で「個人情報を提供した本人と、その個人情報を取得した会社以外はすべて第三者になる」と伝えたが、「第三者」とならない例外が存在する。

以下の場合、「第三者」にあたらないと法令で定められている。
①委託
②共同利用
③事業の承継

上記の3つは、形式的には「第三者」に該当するが、実質的には提供元と提供先を同一視することができるため「第三者」とみなさないことになっている。

委託関係にある取引先(委託先)に、個人情報を「提供」したとしても、グループ間で共同利用するため、グループ会社に個人情報を「提供」したとしても、「第三者」の例外であるため、「第三者」への「提供」とはならない。

この「第三者」の例外が、第三者提供、委託、共同利用を区別するので、しっかりと理解してもらいたい。

私自身も初めは、委託も共同利用も本人から見れば、本人以外への提供になるわけで、すべて第三者提供になるんじゃないの?なぜ例外にする必要があるのか?と混乱した。

確かに広義の意味では、委託も共同利用も本人以外の第三者に提供するわけで、第三者提供にあたらないのはおかしい。

ではなぜ「例外」が存在するのか。

後述するが、「第三者提供」をするためには、本人の同意が必要である。また、提供した年月日や提供先の氏名などの一定の事項に関する記録の作成・保存が求められる。

もし、事業活動において「委託」や「共同利用」を「第三者提供」に含めてしまうと、委託先に個人情報を提供するにも、共同利用するにも、すべて本人から同意を得る、また、その記録の作成及び保存する必要が出てきてしまい、その作業は事業活動に大きな制限を与えるだろう。

事業活動に関して明らかな制限を設けることは、法令の趣旨ではない。
そのため、個人情報保護法で敢えて「例外」を設けているのである。

「第三者提供」の制限

原則として、本人の同意がない限り、個人情報を「第三者」に提供することができない。
また、提供した年月日や提供先の氏名などの一定の事項に関する記録を作成及び保存しなければならない。

「個人情報保護法」が改正され、以前のように本人の同意を得ずに、個人情報を「第三者」に提供するオプトアウト方式も厳しく制限されることになった。

そもそも、「プライバシーマーク」では、オプトアウト方式を取ることができず、同意を得るオプトイン方式が原則であったが、「改正個人情報保護法」でも、オプトアウト方式を利用するために個人情報保護委員会に届け出が必要になるなど、オプトアウト方式の制限が強化されている。

つまり、現実的には、本人の同意がない限り、個人情報を「第三者」に提供することができなくなったと言える。

本人からしてみると、非常に良い改正ではあるが、事業者から見ると「第三者提供」を事業活動に組み入れることはかなり難しいであろう。

そのため、「第三者」の「例外」を作り、本人の同意は不要だが、第三者提供よりも比較的緩い制限を設けたのである。

個人情報の「委託」とは

「第三者」の例外として、「委託」先は第三者にあたらないと伝えた。

では、そもそも「委託」とは何か?
その定義について解説する。

個人情報の「委託」とは、「本来自己の業務である個人データの取扱いを他者に依頼すること」とされている、さらに具体的に以下の3つのいずれかの業務が含まれる場合に「委託」と定義づけられる。

①必要な個人情報を委託者(委託元)から引き渡され履行する業務
②受託者(委託先)が個人情報を収集しなければ履行できない業務
③個人情報を委託者(委託元)から受託者(委託先)に引き渡し、受託者(委託先)も個人情報を収集しなければ履行できない業務

事例
①必要な個人情報を委託者(委託元)から引き渡され履行する業務
・社会保険労務士や税理士
社会保険労務士や税理士に委託する業務は、本来あなたの会社が行うべき、人事労務及び税務の仕事を委託し、かつ、その業務の範囲内で従業員の個人情報(必要な個人情報)を委託者(委託元=あなたの会社のこと)から引き渡され履行されている業務となる。

②受託者(委託先)が個人情報を収集しなければ履行できない業務
・人材採用支援会社(リクルートやエン・ジャパンなど)
人材採用支援会社に委託する業務は、本来あなたの会社が行うべき、人材採用業務を委託し、かつ、その業務の範囲内で、受託者(委託先=人材採用支援会社)に個人情報を収集させ履行させる業務となる。

③個人情報を委託者(委託元)から受託者(委託先)に引き渡し、受託者(委託先)も個人情報を収集しなければ履行できない業務
・社会保険労務士や税理士(マイナンバーの回収業務も依頼)
社会保険労務士や税理士に委託する業務(マイナンバーの回収業務も依頼)は、本来あなたの会社が行うべき、人事労務及び税務の仕事及び従業員のマイナンバーの回収業務も委託した、かつ、その業務の範囲内で従業員の個人情報(必要な個人情報)を委託者(委託元=あなたの会社のこと)から引き渡され、また、受託者(委託先=社会保険労務士や税理士)に個人情報(マイナンバー)を収集させ履行させる業務となる

委託先の監督

「委託」については「第三者提供」の制限を受けることはないが、委託元(あなたの会社)には「委託先を監督する義務」が課せられる。

プライバシーマークにおける「委託先の監督」とは、簡単に言えば、適切な委託先を選定できるように、以下の4点を行うことである。

①委託先を選定するための基準を設けること。
あなたの会社で委託先に求める個人情報保護水準を定めること。

②上記①の基準以上であることを客観的に確認すること
①の水準について質問するシートを作成し、委託先にその質問シートに回答いただくことで、客観的に個人情報保護水準の確認を行うこと。

③契約書や覚書を締結することによって、十分な個人情報保護水準を担保すること。
契約書や覚書で個人情報保護の水準維持を約束させること。

④上記①と②を定期的に見直すこと。
①と②を見直し、委託先に問題がないかを定期的に確認すること。

個人情報の「共同利用」とは

「共同利用」についても「第三者」の例外に当たり、「第三者提供」の制限を受けることはない。

「共同利用」とは、文字通り個人情報をあなたの会社を含めて複数の事業者が利用することを言う。

共同利用の事例で一番わかりやすいのは、グループ会社間での利用である。

例えば、有名企業である楽天をイメージしてもらいたい。

楽天の「お客様の個人情報の利用について」には以下のような記載がある。
「例として、楽天カード株式会社の「楽天カード」を申し込まれたお客様に、楽天が「楽天スーパーポイント」を付与するとき、楽天カード株式会社と楽天との間で、お客様の情報をやりとりし、ポイント付与や、関連するお問い合わせ対応のために利用します。」

つまり、楽天グループでは、様々なサービスを行っており、そのグループ間で個人情報をやりとりしている。

これが個人情報の「共同利用」である。

共同利用の制限

共同利用は、企業側から見れば非常に使い勝手は良いが、本人からしてみれば、自分の個人情報を提供してないグループ会社にも勝手に使われてしまう危険性があるため、共同利用について一定の制限を設けている。

プライバシーマークにおける「共同利用」をする場合には、本人からプライバシーマークが求める明示事項に同意を得た上で、さらに、あらかじめ以下の6点について本人に通知するか、本人が容易に知ることができる状態にする必要がある。

- 共同して利用すること
- 共同して利用される個人情報の項目
- 共同して利用する者の範囲
- 共同して利用する者の利用目的
- 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
- 取得方法

上記の制限を設けることで、容易に個人情報の共同利用が出来ないようにしている。

個人情報の「事業承継」とは

「事業承継」についても「第三者」の例外に当たり、「第三者提供」の制限を受けることはない。

「事業承継」とは、合併、分社、事業譲渡などによって事業が別の会社に引き継がれることを言う。

事業承継の場合、その個人情報を利用する事業自体が承継(移転)されるので、それに伴って個人情報も承継(移転)することは自然なことと言える。

事業承継による制限

「事業承継」による個人情報について、承継(移転)先の個人情報の利用範囲は、承継(移転)元で利用していた範囲に限定される。

つまり、承継先と承継元の個人情報の利用目的や利用範囲は、同一である必要がある。

もし、承継(移転)元の利用範囲を超えて個人情報を利用する場合には、改めて本人の同意を得る必要がある。

まとめ

個人情報の第三者提供、委託、共同利用について解説してきたが、ポイントは「第三者の例外」にある。

例外を除く個人情報の提供はすべて「第三者提供」となる。
そして、例外は、「委託」「共同利用」「事業承継」の3つである。

例外の3つともに、実質的には提供元と提供先を同一視(利用目的が同一である必要がある)が可能であり、また、法令の趣旨から言って制限することのデメリットが大きいため「第三者」とみなさないことになっている。

尚、実務的には、一般の企業において、自社以外に個人情報を渡すケースは上記の3つの例外にまず考えられないため、第三者提供が発生しないことがほとんどである。

プライバシーマーク取得セミナーを開催します

プライバシーマークは難しいと誤解していませんか?

プライバシーマークの取得を検討している方の多くが、「プライバシーマーク」について誤解をしています。実は「プライバシーマーク」の取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「プライバシーマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。
セミナーの詳細や日程については下記よりご参照ください。

セミナー紹介はこちら

プライバシーマーク取得セミナーを開催します

プライバシーマークは難しいと誤解していませんか?

プライバシーマークの取得を検討している方の多くが、「プライバシーマーク」について誤解をしています。実は「プライバシーマーク」の取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「プライバシーマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

開催日時
※日中の外出が難しい方向けに夜間の時間帯でもやっています。
2019年02月04日(月)|【午後】14:00-15:30|【夜間】18:00-19:30
2019年02月20日(水)|【午後】14:00-15:30|【夜間】18:00-19:30
2019年03月14日(木)|【午後】14:00-15:30|【夜間】18:00-19:30
2019年03月28日(木)|【午後】14:00-15:30|【夜間】18:00-19:30

開催場所
会場名:東京都中央区ハイテクセンター
住所:〒104-0032東京都中央区八丁堀三丁目17番9号 京華スクエア2階
・東京メトロ日比谷線・JR京葉線「八丁堀駅」A3出口より徒歩1分

セミナー紹介はこちら

SNSでもご購読できます。

コメントを残す

*