執筆:弁護士 阿久津 透(AI・データ(個人情報等)チーム)
1.はじめに
個人情報を取り扱う部門・部署にいる方であれば、漠然と「第三者に提供する場合には本人の同意はいるが、委託の場合には不要」という理解をされている方も多いかと思います。
決して間違っているわけではないのですが、このような漠然とした理解だけですと、委託だから大丈夫と安心してしまってその後の対応を誤るといったトラブルが生じるリスクがあります。
この記事では、「委託」とは何か、委託した場合の注意点について解説をしていきます。
2.第三者提供と委託の関係
(1)「提供」と「委託」の意味
「提供」や「委託」とはどういった行為を指すのかわからないという相談を受けることも多いので、この点から少し整理していきます。
これらの用語については、個人情報保護法に定義はなく、ガイドラインの通則編の中で説明がされています。
まず、「提供」とは個人データ等を、「自己以外の者が利用可能な状態に置くこと」を意味します。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、それは提供にあたります(ガイドライン通則編2-17)。
次に、「委託」とは、「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせること」を意味します。具体的には、「個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等」と説明されています(ガイドライン通則編3-4-4(※1)参照)。
(2)提供と委託の関係
個人情報保護法27条1項は、「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」として、同意のない個人データの第三者提供を原則として禁止しています。
先ほどの「提供」の用語の整理とあわせると、この条文は、本人の同意を得ずに、個人データを自己以外の者が利用可能な状態に置いてはならない、ということを意味しています。
次に、個人情報保護法27条5項は「次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。」として、提供先が第三者に該当しない場合を列挙しています。
提供先が、27条5項が定める事項のいずれかに該当する場合には、その提供先は「第三者」に該当しないので、本人の同意は必要ないという整理です。
この例外のうちの1つが、「委託」のケースです。
27条5項1号は「①個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」には、その提供先は第三者に該当しないと定めています。
この27条5項1号が「委託の場合には同意は不要」とされる根拠となります。
なぜ、委託に伴う提供の場合に提供先が「第三者」に該当しないのかというと、形式的には第三者に該当するものの、提供先は委託された業務の範囲内でのみ、本人との関係においては、提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、という説明がされています(ガイドライン通則編3-6-3(1)参照)。このような理由で第三者に該当しないとされているため、委託先は、委託の範囲内でした提供を受けた個人データを取り扱うことができません。
3.委託の場合の注意点
上記のとおり、委託に伴う提供の場合には本人の同意は不要ですが、本人の同意が不要なだけであって、提供元がもともと負っている個人情報保護法上の義務を免れるわけではありません。
個人情報を取り扱う事業者は、個人情報保護法23条で「その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」という安全管理措置を講じる義務を負っています。
そして、個人情報保護法25条は、「個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」として、委託先の監督義務について定めています。
委託の場合には、委託先においても、自らが講ずるべき安全管理措置と同等の措置が講じられるように監督しなければなりません。
4.書面の整備から実質的な対応の整備へ
個人情報の取り扱いに関する意識は年々高まっていますので、委託する場合の雛形を準備する、取引先から提示された契約書をしっかりとレビューするという事業者の方も増えてきたかと思います。
もちろんこのような委託の前の準備も重要なのですが、実際に問題が発生するのは提供した後ですので、締結後にどのような対応で監督していくかということの方がより重要です。
委託先で委託の範囲を超えた取り扱いをしていないか、管理体制は自社と同等のものとなっているか、無断で再委託されていないかなど、提供元が確認すべき事項は多岐にわたります。
2022年4月1日からの改正個人情報保護法の施行に伴い、個人情報関係の書類を整備した事業者の方は多いかと思います。
一方で、その整備した書類を適切に運用できている、運用できる体制を整えているという事業者はそう多くないように思います。
これからは、書類を整備した後に、どのようにそれを実践していくかという実質面での対応が重要になってきますので、漏えい等の事案が生じる前に今一度社内体制の見直しをご検討下さい。
監修
弁護士 森田 芳玄
(都内の法律事務所にて主に企業法務に携わったのち、2016年GVA法律事務所入所。現在は、企業間紛争、労務、ファイナンス、IPO支援、情報セキュリティ法務を中心としたさまざまな企業法務案件に携わる。情報処理安全確保支援士。ITストラテジスト。システム監査技術者。)
