この記事では、よく規程の整備が求められる事項について、リスクマネジメントの観点から分析し、具体的な対応策を検討します。今回のテーマは「個人情報の第三者提供」です。

リスクを検討するときには単に「個人情報の第三者提供」と抽象的に考えるのではなく、個人情報を第三者に提供する際にどのような事項を考えておく必要があるかという点までセットで考えることが重要です。本記事では、前回の、「個人情報の保護(取得・利用・保管・管理)」をリスクマネジメントから考える」に引き続き、個人情報の第三者提供に際してのリスクをどのように見積もり、どのように防止策を講じるべきか、どのような費用がかかるのか、検討していきます。

「個人情報」や「個人情報取扱業者」、「個人データ」等、法におけるいくつかの定義の解説等については前回の記事をご参照下さい。

 

 

Ⅰはじめに

 団体が保有する個人データについて、プロジェクトの協力団体や企業から提供を求められた場合、そもそも提供することができるのでしょうか。できるとして、どのような手続きを踏む必要があるのでしょうか。

 「個人情報の保護に関する法律」(いわゆる個人情報保護法。以下、単に「法」といいます。)は、本人による事前の同意がある場合を除き、原則として個人データの第三者提供を禁止しています1。しかし、一旦取得した個人データをどんな場合にも第三者に提供できないとすると、様々な不都合があるかもしれません。そこで、法は、事前同意が不要となる場合や、一定の義務を課した上で第三者提供を可能とする枠組みを整えています。

 なお、同じグループ間であっても、法人格が異なれば、第三者提供に当たりますので注意が必要です。

 

II 第三者提供の規制2

1 事前同意が不要となる場合

(1) 例外規定

以下のような場合には、本人による事前同意なく、第三者提供をすることができます3

    • 法令に基づく場合
      例えば、警察の捜査関係事項照会に対応する場合
    • 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

    例えば、大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合

    • 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

    例えば、児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合

     この他、国などの機関から委託を受けた者や学術研究機関に関する例外規定も定められています。

    (2)オプトアウト

     同窓会の名簿で、以後の掲載停止を希望する場合には、名簿管理者である個人情報取扱業者に連絡して、掲載を停止してもらう措置を取ることができるとの文言を見たことがある方もいらっしゃるのではないでしょうか。このように、本人の求めに応じて個人データの第三者提供を停止することとしているケースは、「オプトアウト」と呼ばれます。オプトアウトを採用する場合には、本人の事前同意なく第三者提供することができます4

     オプトアウトを採用するためには、一定の事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届出ることが必要です。

    (3)第三者に当たらない場合

     以下の場合には、提供先が第三者に当たらないとされ、本人の事前同意は不要となります5

      ・委託

    例えば、個人データの情報処理を他社に委託する場合。なお、委託の場合には、委託先に対する監督が必要となります6

      ・事業承継・合併

      ・共同利用

    例えば、同じグループ内又はプロジェクトの共催団体と共同で個人データを利用する場合。なお、この場合には、共同利用する旨や、共同利用される個人データの項目等、一定の事項を開示する必要があります7

     

    2 第三者提供時の義務

    (1) 事前同意

     上記の「事前同意が不要となる場合」以外で、第三者提供をする場合には、本人の事前同意を得なければなりません8

     「本人の同意」は、口頭、書面(メールを含む)、HP上での同意する旨のボタンのクリック等、様々な方法が考えられます9。しかし、後のトラブルを避けるためには、口頭以外の方法を採るべきでしょう。

    (2) 提供元の記録・保存義務

     例外規定や委託等の第三者に当たらないケース以外で第三者提供を行った場合、提供元である個人情報取扱事業者は、以下の情報を文書やデータ等で記録し、原則として3年間保存しなければなりません10

    ① 本人の事前同意を得ている旨
    ② 提供した先の第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人の氏名(不特定かつ多数の者に対して提供したときは、その旨))
    ③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
    ④ 当該個人データの項目

    (3)提供先の確認・記録作成・保存義務

     団体が、個人データの提供を受ける側になった場合には、例外規定や委託等の第三者提供に当たらないケースを除いて、以下の確認義務が生じます11

    ①提供元たる第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    ② 当該第三者による当該個人データの取得の経緯

     さらに、提供を受ける側は、以下の情報を文書やデータ等で記録し、原則として3年間保存しなければなりません12

    ① 個人データの提供を受けた年月日
    ② 本人の事前同意を得ている旨
    ③ 提供元たる第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    ④ 当該第三者による当該個人データの取得の経緯
    ⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
    ⑥ 当該個人データの項目

     

    3 匿名加工情報

     「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元することができないようにしたものをいいます13。例えば、個人データを以下のように加工する場合です。

      元の個人データ
      氏名:A田B子
      住所:神奈川県川崎市川崎区駅前本町〇番地
      生年月日:2000年1月1日
             
      加工後のデータ
      氏名:削除
      住所:神奈川県川崎市
      生年月日:2000年1月

       

         この場合、個人として識別できない程度に加工されていることから、第三者提供の際の事前同意は不要となります。

         なお、匿名加工情報を作成する個人情報取扱事業者には、加工や安全管理措置等について、別途義務が生じます14

         

        Ⅲ リスクの評価

        1 リスクの発生可能性

         個人データの第三者提供を行っている、又は行う可能性があるにもかかわらず、本人の事前同意を取る仕組みを整えていなかったり、第三者提供の際の記録簿を用意していない場合には、法令違反の可能性が高まる状況にあるといえます。

        2 リスクの影響度

         法令に反して第三者に個人情報を提供してしまった場合は、団体における法令順守に対する姿勢が露呈しますので、その影響度として社会的な批判や信用の低下が考えられます。あわせて、個人情報に対する団体の意識の低さも伺われることから、情報漏洩のリスクも高まると考えられます。情報漏洩が生じた場合のリスクついては、前回の記事をご参照ください。

        3 リスクの高低の判断

         第三者提供の可能性がない場合には、リスクの発生可能性はありません。しかし、現在のみならず将来的に第三者提供を行うことが予想される場合には、その頻度や扱う個人データの量により法令違反のリスクの可能性が低から高まであると考えられます。特に、日常的に第三者提供を行っていない団体が単発で第三者提供を行う場合には、体制整備が整っておらず、遵守事項を忘れてしまうおそれがあり、注意が必要です。

         一方で、法令違反時の影響度は、社会的な批判や信用の低下につながることから、受託の失注や寄付の減少、SNSでの誹謗中傷、さらに、当該NPOの事業の利用者の減少等につながり得ることから、特に寄付を主な収入源としている場合や、センシティブな情報を扱う相談事業等を行っている団体においては、高と整理することが多いと考えられます。

         

        Ⅳ リスクへの対策

         団体は、まず、第三者提供の現状及び将来的な可能性について検討し、それに基づき不足部分の体制整備を図ることが考えられます。

         まず、第三者提供が想定される場合には、利用目的において、その旨を特定しなければならないとされていることから15、基本方針やプライバシーポリシーの中でその旨を記載することが考えられます。

         さらに、第三者提供を行う場合の記録簿や保管に関するチェックリストを事前に準備しておくことも有効でしょう。 なお、上記の通り、第三者提供の枠組みを取ることによって、本人の事前同意や記録の保存義務が課せられます。そこで、このような義務を回避するために、そもそも第三者提供が必須なのか、必須であるとして、共同利用の枠組みを取ることができないかについて、一考の余地があるといえます。

         

        Ⅴ 参考となるウェブサイトなど

         個人情報保護委員会のウェブサイトでは、ハンドブックやマンガ、動画などで分かりやすく個人情報保護法について解説していますので、導入としてご覧いただくと参考になるかと思います。

         また、第三者提供に関する体制整備にあたり、依頼する弁護士等に思い当たる方がいらっしゃらない場合、BLP-Networkでは皆様の活動を応援する弁護士を紹介しています。ぜひご相談ください。https://www.blp-network.com/for_npo-socialsector/

         

        (江間裕子)

         

         

            1. 法第27条1項 ↩︎
            2. 本項では、第三者提供が日本国内で行われる場合を念頭に解説します。外国にある第三者に対する個人データの提供については、外国にある第三者提供を認める本人の事前同意や、当該外国の個人情報の保護に関する制度等を本人に提供する義務等があります(法28条)。 ↩︎
            3. 法第27条1項各号。なお、事例については、ガイドライン通則編3-6-1/3-1-5 ↩︎
            4. 法27条2項。ただし、要配慮個人情報や不正な手段により取得された個人情報をオプトアウトの方法により第三者提供をすることはできず、他の個人情報取扱業者がオプトアウトの方法により取得し、提供された個人データをオプトアウトにより再提供することできません(同条但書)。 ↩︎
            5. 法27条5項 ↩︎
            6. 法第25条 ↩︎
            7. 法第27条5項3号 ↩︎
            8. 法第27条1項柱書 ↩︎
            9. ガイドライン通則編2-16 ↩︎
            10. 法第29条、規則19条及び21条。 ↩︎
            11. 法第30条1項、規則22条。なお、オプトアウトによる場合には、これらに加えて個人データを提供した年月日が必要となり、本人の事前同意を得ている旨は不要となります。 ↩︎
            12. 法30条3項及び4項、規則23条ないし25条 ↩︎
            13. 法第2条6項 ↩︎
            14. 法第43条ないし46条 ↩︎
            15. ガイドライン通則編3-1-1 ↩︎