個人情報の提供方法には「第三者提供」「委託」「共同利用」の3つがありますが、どの方法を選択するかによって法的な義務や責任が異なるため、それぞれの違いを理解することが重要です。
本記事では、個人情報保護法における第三者提供・委託・共同利用の定義と違いについて解説します。
1. 個人情報の提供方法
個人情報の提供方法は、「第三者提供」「委託」「共同利用」の3つです。
情報を扱う際にどの方法を選択するかによって法的な義務や責任が変わるため、個人情報の適切な管理においては正確な知識を持つ必要があります。
個人情報保護法における第三者提供は、個人情報を自社以外の第三者に対して提供する行為を指します。委託は、業務を外部に依頼し、その過程で個人情報を提供することを意味します。共同利用は、複数の組織が特定の目的のために個人情報を共有し合うことです。このように、提供方法によって情報の扱い方が異なります。
■第三者提供とは
個人情報保護法における第三者提供とは、企業や団体が収集した個人情報を、自社以外の組織や個人などの第三者に提供する行為です。例えば、ある企業が顧客のデータを他の企業に渡し、マーケティング活動を行う場合が第三者提供に該当します。
第三者提供では個人情報が不適切に扱われるリスクがあるため、個人情報保護法で厳しく規制されています。第三者へ個人情報を提供する際には、原則として本人の同意が必要です。
|
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
引用:個人情報保護法27条1項 |
以下のケースに該当する場合は、第三者提供にあたりません。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
第三者提供にあたらない「委託」「共同利用」について詳しく解説します。
■委託とは
個人情報保護法における委託とは、個人情報の管理や処理を外部の業者に委託する行為を指します。具体的には、ある企業が顧客情報を外部の業者に渡し、その業者が情報を利用して業務を遂行する場合などです。たとえば、通販サイトが配送業者に顧客の住所情報を提供し、商品の配送を依頼するケースが挙げられます。
■共同利用とは
個人情報保護法における共同利用とは、特定の事業者が他の事業者と個人情報を共有することです。特定の目的のために複数の事業者が協力して個人情報を扱う際に、共同利用が用いられます。具体的には、グループ企業間での顧客情報の共有や提携企業間でのデータ活用などがあります。
共同利用を行う際には、利用目的や情報の範囲、責任者の明示が必要です。また、個人情報を提供する前に、本人にその旨を通知し、同意を得ることが求められます。さらに、共同利用を行う企業は、個人情報を適切に管理し、漏えいや不正使用を防ぐための措置を講じる責任があります。
2. 個人情報の提供方法に関する義務と責任
個人情報の提供方法に関する義務と責任については、第三者提供、委託、共同利用それぞれで異なる義務が課されています。
第三者提供では、個人情報を提供する際に本人の同意が必要であり、その内容を明確にする義務があります。委託の場合は、委託先に対して適切な管理を行う責任があり、委託契約を通じて責任範囲を明確にする必要があります。共同利用では、利用者に対して事前に通知し、利用目的や責任者を明示する義務が生じます。
3. 個人情報保護法における第三者提供の判断基準
第三者提供に該当するかどうかを判断する際には、提供する相手が「第三者」なのか、「提供」に該当するかを確認する必要があります。
個人情報保護法における「第三者」とは、以下に該当しない企業や団体です。
- 当該個人データによって特定される本人
- 当該個人データを提供しようとする個人情報取扱事業者
個人情報保護法における「提供」とは、個人データや保有個人データ、個人関連情報、仮名加工情報、匿名加工情報を、自己以外の者が利用可能な状態に置くことです。物理的に提供されていない場合でも、利用する権限が与えられていれば提供にあたります。
たとえば、クラウドサービスに個人情報が保管されていて、クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合には、「提供」にはあたりません。
参考資料:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q7-53
4. 個人情報の委託に伴う委託先管理の重要性
委託先が個人情報を不適切に扱った場合、情報漏えいや不正利用のリスクが高まるため、委託元は委託先の管理に細心の注意を払う必要があります。
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
引用:個人情報保護法25条 |
委託先を選定する際には、信頼性や実績、情報セキュリティ対策が十分に施されているかを確認することが重要です。また、契約書には情報の取り扱いに関する詳細な条件を明記し、法令に基づいた適切な管理を求めるようにしましょう。
さらに、委託先の監査も重要です。定期的に情報管理の状況を確認し、必要に応じて改善を求めることで、リスクを低減できます。具体的な監査項目には、情報漏えい防止策の実施状況や、従業員への教育訓練の実施状況などがあります。
【関連記事】
委託先管理とは?目的や必要な理由、実施する際のポイントを解説
5. 個人情報保護法における共同利用の仕組みと注意点
共同利用は、あらかじめ定めた範囲内で情報を共有することで、効率的かつ効果的に業務を進めることを目的としています。共同利用を行う際には、情報の取り扱いに関するルールを明確にし、関係者全員がそのルールを理解し遵守することが重要です。
■共同利用の具体的なケース
共同利用の具体的なケースとして、企業グループ内での情報共有が挙げられます。例えば、親会社とその関連会社が共同で顧客情報を利用する場合です。このようなケースでは、各社が独自に収集した情報を共有し、顧客サービスの向上やマーケティング活動の効率化を図ることが目的となります。
|
事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的(法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合 事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合 事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合
|
■通知義務
個人情報を共同利用する際には、以下の項目を本人に通知するか、本人が容易に知り得る状態にしておく必要があります。
- 共同利用をする旨
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 管理に責任を有する者の氏名又は名称、住所、代表者名
上記項目は、プライバシーポリシーを通じて利用者に伝えられることが一般的です。また、通知を行う際には、利用者が理解しやすい平易な言葉を用いることが求められます。
通知義務を怠ると法律違反となる可能性があるため、個人情報を共同利用する際には注意が必要です。
6. まとめ
今回は、個人情報保護法における第三者提供・委託・共同利用の定義と違いについて解説しました。
個人情報保護法における第三者提供・委託・共同利用は、それぞれ法的な義務や責任が異なります。本記事で解説した第三者提供・委託・共同利用の定義や違い、法的な義務を参考に、違いを正しく理解したうえで適切に対応することを心がけましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
