法律コラム

改正個人情報保護法(第2回)-第三者への個人情報提供は大丈夫か-

2022年 12月 16日

ある日突然海外のまったく知らない人物・企業からメールが送られてくることがあり、一体どうやって自分のメールアドレスを知ったのだろうと、不審に思ったことはありませんか。自分の知らないうちに、いつの間にか海外に自分の情報が知られてしまっていることに対して、少なからず不安を感じた経験も多くの人がお持ちなのかもしれません。

1.個人情報取扱事業者

個人情報保護法において「個人情報取扱事業者」とは、「個人情報データベースなどを事業の用に供している者」のことであるとされます。これは法人や個人事業主だけでなく、NPO法人やマンションの管理組合、自治会、同窓会などの非営利組織も含まれることになります。

ここで言う「個人情報データベース」とは、個人情報を含む情報の集合物のことであり、①パソコンなどを使って検索できるように体系的になっているもの、②目次や索引などによって特定の個人情報を検索できるように体系的になっているもの、①②のいずれかを言います。個人情報保有数の多寡は関係ありません。

個人情報取扱事業者は、一部の例外を除いて、個人情報を第三者に提供する場合、あらかじめ本人の同意を得なければなりません。この場合の「第三者」とは、当該データによって特定される本人と当該個人データを提供しようとする個人情報取扱事業者以外の者をいい、自然人、法人、その他の団体であるという区別は問われません。

また、個人データを第三者に提供した際には必ずその記録を残し、一定期間保管しなければなりません。そして本人から開示請求があったときには、遅滞なくこれに応じなければならないことになっています。

ところで、提供元においては個人データに該当しないものの、提供先において個人データとなる可能性があるという情報については、「個人関連情報の第三者提供の制限等」として、本人の同意が得られていること等の確認が必要になります(本稿 第4回「仮名加工情報・個人関連情報とは」を参照)。

2.オプトアウト

個人データを第三者に提供するために、事前に本人の明確な同意を必要とすることを「オプトイン」と呼んでいます。メルマガの読者登録などがこれに当たります。

これに対して、本人から明確な同意は得られていないけれども、本人の求めがあれば当該本人が識別される個人データの第三者への提供を停止するという場合に、そのことをあらかじめ本人に通知し、あるいは本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、当該個人データを第三者に提供することができるという制度が「オプトアウト」と呼ばれるものです。

オプトイン・オプトアウトの図

個人情報取扱事業者がオプトアウトを使う場合は、①プライバシーポリシーなどに必要な事項を記載して公表し、②個人情保護委員会に「個人データを第三者に提供するにあたり、本人の同意はオプトアウトでとります」ということを事前に届け出ていなくてはなりません。

これまで「要配慮個人情報」の場合は、オプトアウトによる個人データの第三者提供ができないとされていました。これに加えて、今回の改正で「不正に取得された個人データ」及び「オプトアウト規定により提供された個人データ」もオプトアウトによる第三者提供ができないことになりました。

3.外国にある第三者への個人情報提供

令和4年4月1日に施行された改正個人情報保護法では、外国にある第三者への個人データ提供時に、本人に対して、移転先事業者における個人情報の取り扱いに関する情報提供の充実等が図られることとなりました。

これまで外国にある第三者に個人データを提供できる要件として、1.本人の同意、2.基準に適合する体制を整備した事業者、3.日本と同等の水準国(EU・英国)の3点が挙げられていましたが、改正後は1.2.の要件に以下のことが追加されて本人に提供することが義務づけられています。

  1. 本人からの同意取得時に、以下の情報を提供すること
    ○移転先の所在国の名称
    ○当該外国における個人情報の保護に関する制度
    ○移転先が講ずる個人情報の保護のための措置
  2. 基準に適合した体制を整備した事業者であっても
    ○移転先における適正な取り扱い状況などの定期的な確認を移転元がとること
    ○移転先における適正な取り扱いに問題が生じた場合の対応を移転元がとること
  3. 日本と同等の水準国(EU・英国)

同意を取得するにあたって、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を提供しなければならないため、包括的にグループ会社に移転する旨の同意を取得する方法で対処することは容易ではなくなります。

したがって、グループ会社間での従業員・顧客情報等の移転については、基本的には、同意に依拠するのではなく、共同利用の方法によると整理したうえで、日本の会社と共通の内規・プライバシーポリシー等を海外のグループ会社にも適用するか、海外のグループ会社との間でデータ移転のための契約を締結することでデータ移転の仕組みを整えていく必要性が高まるものと考えられます。

監修

武蔵野経営法律事務所 弁護士・中小企業診断士 加藤剛毅

同じテーマの記事

法律コラム