個人情報の第三者提供について ~提供・受け取り時のルールと第三者提供に該当しないケース、記録・確認が不要となるケース~
「個人情報の第三者提供」とは
業務上で得た個人情報は「個人情報保護法」によって保護されています。
個人情報保護法では「個人情報の第三者提供」について一定のルールを定めています。
すなわち、業務上で得た個人の氏名、住所、メールアドレスなど、特定の個人を識別できる情報を、別の第三者に提供したり、第三者から提供を受けたりするには、個人情報保護法に定められたルールに従う必要があります。
2017年の法改正で追加された、個人情報の第三者提供に関する義務
2014年のベネッセによる個人情報流出事件をはじめとし、近年にわたり情報漏えいに関する事件が多発したことを背景に、2017年に個人情報保護法の大幅な改正が行われました。
2017年の個人情報保護法改正では、個人情報を第三者に提供する際の決まりについて、大きく分類して以下2つの新しい義務が追加されました。
- 個人情報についての一定の事項を記録すること
- その記録を一定期間保管すること
この記事では、個人情報保護法に定められた、事業者が個人情報の第三者提供に関わる際の決まりについて具体的に解説していきます。
個人情報を第三者に提供する場合のルール
個人情報を第三者に提供する場合には以下のルールに従う必要があります。
記録を残す義務
第三者提供を行う際、事業者は以下の事項について記録を残す義務があります。
本人の同意を得て第三者提供する場合の記録事項
本人の同意を得て第三者に情報を提供する場合でも、提供者は以下の事項を記録しなければなりません。
- 本人の同意を得ている旨
- 提供先の第三者の氏名や名称、住所など、提供先を特定できる情報(不特定多数に提供した場合は、その旨)
- 本人の氏名など、本人を特定できる情報
- 提供した個人情報に含まれる項目(本人の氏名、電話番号、メールアドレスなど)
オプトアウトにより第三者提供する場合の記録事項
オプトアウトとは、個人情報の第三者提供に関して、個人情報を持つ本人からは直接同意はとらずとも、その本人が反対をしない限り、個人情報の第三者提供に同意したものとみなす方式のことです。
オプトアウトにより第三者提供する場合は以下の事項について記録を残す義務があります。
- 個人情報を提供した年月日
- 提供先の第三者の氏名や名称、住所など、提供先を特定できる情報(不特定多数に提供した場合は、その旨)
- 本人の氏名など、本人を特定できる情報
- 提供した個人情報に含まれる項目(本人の氏名、電話番号、メールアドレスなど)
※「本人の同意を得ている旨」の事項以外は、前項の「本人の同意を得て第三者提供する場合の記録事項」と同じです。
(オプトアウトする場合)個人情報保護委員会への届出義務
前述のオプトアウトを利用するには、事前に個人情報保護委員会へ届け出た上で、プライバシーポリシーなどにオプトアウトする旨を公表する必要があります[1]オプトアウト規定による第三者提供の届出|個人情報保護委員会。
本人による開示請求に応じる義務
上記の「第三者提供記録」に関して、個人情報を持つ本人より開示請求があった場合は応じなければなりません。
本人による申し出があった場合、提供を停止する義務
個人情報を持つ本人より、個人情報の第三者提供を停止してほしい要望の申し出があった場合は、すみやかに提供を停止しなければなりません。
オプトアウトでは第三者提供できない個人情報
前述した、本人の直接的な同意がなく個人情報の第三者提供に同意したものとみなす「オプトアウト」では、提供できる個人情報に制限が加えられています。
以下に該当する個人情報は、オプトアウトでは第三者提供することを禁止されています。
要配慮個人情報
要配慮個人情報とは、差別や偏見に繋がる個人情報のことです。具体的には、信仰する宗教や政治的思想、生まれ持っての境遇、心身の障害、病歴、犯罪歴、犯罪被害の経験などが挙げられます。
このような要配慮個人情報については、本人の同意を得ない取得を原則として禁止するとともに、本人が気づかないうちに個人情報が第三者へ提供されることがないように、オプトアウトによる第三者提供が禁止されています。
要配慮個人情報については、下記の記事もご参照ください。
オプトアウトによって得た個人情報
事業者が「オプトアウトで第三者提供された個人情報」を受け取り、そのデータをまた別の事業者に「オプトアウトで第三者提供」することは禁止されています。
一度オプトアウトを許可された個人情報において、複数の事業者への再提供が転々と繰り返されてしまうことを防止しています。
不正取得した個人情報
自社が不正取得した個人情報をオプトアウトで第三者提供してはいけないのは当然ですが、他社が不正に取得した個人情報も第三者提供してはいけない点にも気を付ける必要があります。
後述の「個人情報を第三者から受け取る場合の決まり」においても記述しますが、個人情報を受け取る側の事業者には、そのデータの取得経緯を確認する義務があります。
個人情報を第三者から受け取る場合の決まり
続いて、個人情報を第三者から受け取る側になった場合のルールを解説します。
確認義務
個人情報の第三者提供を受ける事業者は、以下の点について提供元の事業者に確認しなければなりません。
- 提供元の氏名または名称(法人の場合は代表者の氏名)や住所など、提供元を特定できる情報
- 提供元がその個人情報を取得した経緯
不正に取得された個人情報と知りながらそれを受け取った場合、個人情報保護法違反となります。
第三者提供を受ける側に、上記の「個人情報を取得した経緯」の確認義務を課すことで、不正取得された個人情報がいろんな事業者に流出してしまうことを防ぐ仕組みになっています。
取得経緯についての具体的な確認内容は、以下の事項です。
- 誰から取得した情報か?
(例:顧客本人、従業員本人、他の個人情報取扱事業者、家族・友人、公開情報など) - どうやって取得した情報か?
(例:本人から直接取得した、有償で取得した、公開情報から取得した、紹介によって取得した、個人的な知人から取得したなど)
記録義務
第三者提供を受けた際も、事業者は以下の事項について記録を残す義務があります。
本人の同意を得て第三者提供を受ける場合の記録事項
- 本人の同意を得ている旨
- 提供元の第三者の氏名や名称、住所など、提供元を特定できる情報
- 提供元がその個人情報を取得した経緯
- 個人情報を持つ本人の氏名など、本人を特定できる情報
- 提供された個人情報に含まれる項目(本人の氏名、電話番号、メールアドレスなど)
オプトアウトにより第三者提供を受ける場合の記録事項
- 提供を受けた年月日
- 提供元の第三者の氏名や名称、住所など、提供元を特定できる情報
- 提供元が行ったオプトアウトの届出が、個人情報保護委員会によって公表されている旨
- 提供元がその個人情報を取得した経緯
- 個人情報を持つ本人の氏名など、本人を特定できる情報
- 提供された個人情報に含まれる項目(本人の氏名、電話番号、メールアドレスなど)
オプトアウトの届出が公表されていない事業者から個人情報の提供を受けると、個人情報保護法違反になる可能性があります。
個人情報保護委員会のサイトから、オプトアウトの届出が公表されている事業者かどうかを調べることができます。
私人から第三者提供を受ける場合の記録事項
私人とは個人情報取扱事業者以外の者を指します。
たとえば、お客さんから友達紹介のような形で、他のお客さんを紹介してもらうようなケースが該当します。
私人より第三者提供を受ける場合は以下の事項について記録を残す義務があります。
- 提供元の第三者の氏名や名称、住所など、提供元を特定できる情報
- 提供元がその個人情報を取得した経緯
- 個人情報を持つ本人の氏名など、本人を特定できる情報
- 提供された個人情報に含まれる項目(本人の氏名、電話番号、メールアドレスなど)
第三者提供に該当しないケース
これまで説明した通り、原則、個人情報の第三者提供には提供する側も提供を受ける側にも、記録や確認の義務が生じます。
一方で、以下に該当するケースの場合は、個人情報の第三者提供にあたらず、本人の同意や、記録・確認は不要となります。
委託
名簿の入力などの事務処理を業務委託するため、他の事業者に顧客情報を渡すようなケースについては、第三者提供に該当しないとされています。
個人情報保護法第23条(第5項)(1)
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
個人情報保護法第23条(第5項)
第三者提供にあたらないとされるため、このようなケースでは第三者提供についての本人の同意やオプトアウトの手続きなしでも、個人情報のやり取りをすることができ、記録や確認の義務もありません。
ただし、委託元の事業者には、提供した個人情報を業務委託先が悪用しないように監督する義務があります。
共同利用
提携している会社と共同作業で業務を進める上で、個人情報の利用が必要となるケースについても、第三者提供に該当しないとされています。
上記「委託」の例と同様に、第三者提供にあたらないため、本人の同意やオプトアウトの手続きなしでも個人情報のやり取りをすることができ、記録や確認の義務もありません。
ただし、この「共同利用」の場合は、以下の項目について、事前に個人情報を持つ本人に通知するか、本人が簡単に調べられるようにWebサイトに掲載する必要があります。
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 個人データの管理責任者に関する情報(氏名又は名称)
個人情報保護法第23条(第5項)(3)
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
個人情報保護法第23条(第5項)
事業承継による提供
合併、分社化、事業譲渡等により事業が承継されることで、個人データが新しい会社に引き継がれるケースは第三者提供に該当しません。
したがって、前述の例と同様に、本人の同意やオプトアウトの手続き、記録や確認の義務はありません。
ただし、引き継がれた個人データは事業承継前の利用範囲内で利用しなければなりません。
もし、元の利用範囲外で利用したい場合は、再度、個人情報を持つ本人の同意を得る必要があります。
国や行政機関への提供
たとえば、事業に必要な特定の有資格者(宅建士、医薬品登録販売者、衛生管理者など)の個人情報を、国や行政機関に届け出て登録するケースがあります。
このような場合の個人情報の提供は、第三者提供に関する同意は不要で、記録や確認義務もありません。
第三者提供に該当するが、記録・確認が不要となるケース
以下2点については、個人情報の第三者提供には該当するが、記録や確認の義務は免除されます。
本人による提供
最近、不動産販売や保険料、引っ越し費用などについて、一度個人情報を入力するだけで、複数の業者への見積もりを依頼できる「一括見積もりサイト」が増えています。
こういった一括見積もりサイトを運営する業者は、入力された個人情報を別の業者に渡して見積もりをもらいます。
この場合の個人情報の第三者提供は「本人による提供」と解され、見積もりサイト運営者側においては記録や確認の義務は免除されます。
ただし、第三者提供の本人による同意は必要です。そのため、サイト上の個人情報を入力するページにて、第三者提供についての同意を確認するチェック項目を設ける等の措置が必要となります。
本人に代わっての提供
たとえば、旅行や保険の代理店など、顧客と業者を繋ぐ役割を担うような仕事がこれに該当します。
顧客が代理店に提供した個人情報を、旅館や保険会社などに渡すわけですが、この場合の個人情報の第三者提供は「本人に代わっての提供」と解され、代理店側においては記録や確認の義務は免除されます。
記録が省略できるケース
ここからは記録のみを省略できるケースを紹介します。
契約書等の代替手段によるケース
サービスの提供や商品を販売する際に、顧客と契約書を交わすような場合、その契約書内に個人情報の第三者提供について合意する項目も含まれていれば、この契約書が記録の代わりになります。そのため、この契約書を保管しておけば、別途記録を取っておく必要はありません。
なお、オプトアウトによる第三者提供については対象外です。
一括して記録を作成するケース
何度も同じ事業者と個人データの第三者提供を行うことになるような場合は、毎回の取引ごとに記録を行わなくても、一括して記録を作成すればよいことになっています。
こちらも前項同様、オプトアウトによる第三者提供については対象外です。
外国にいる第三者へ提供する場合の決まり
外国にいる第三者へ個人データの提供をする場合には、あらかじめ「外国にある第三者への提供を認める旨の本人の同意」を得る必要があります。
通常の本人同意があったとしても、「外国の第三者へ提供を認める本人同意」がなければ、外国の事業者には第三者提供できません。
こちらは2017年の法改正により新たに追加されたルールです。
記録の保存期間について
「第三者提供を行った記録」や「第三者提供を受けた記録」は、記録をつけてから原則3年間、保存する義務があります。
(前述の「契約書等の代替手段によるケース」のみ、契約書の保存期間は1年となります)
その個人データを利用しなくなった場合でも、決められた期間が過ぎるまでは保管しておけるように、データを整理しておくことが大切です。
違反した場合の罰則規定
個人情報取扱業者の監督機関は個人情報保護委員会です。
個人情報保護委員会は事業者に対して、個人情報の取扱いについて報告を求め、又は立入検査を行うことができます。また個人情報の取扱いに不備がある場合は、個人情報保護委員会が改善に向けての指導や命令を下します。
個人情報保護委員会からの命令にも違反した場合は、以下の罰則があります。
- 会社に対して:最大30万円の罰金
- 違反した従業員に対して:最大6か月の懲役または最大30万円の罰金
まとめ
このように個人情報を扱う事業者には、第三者提供を行う側も受領する側も、本人の同意や記録、確認に関して、たくさんのルールがあります。
また、オプトアウト制度を利用する場合にはさらに細かいルールが定められています。
個人情報保護の体制をしっかり整え、情報流出や法令違反等のリスクに晒されないようにすることが、事業を行う上で重要なポイントとなってくることでしょう。