執筆:弁護士 阿久津 透( AI・データ(個人情報等)チーム )
1.第三者提供規制の基本
親子兄弟会社やグループ会社の間で個人データを交換する場合、フランチャイズ組織の本部と加盟店の間でユーザーのデータを交換する場合、業務提携先に自社サービスのユーザーデータを送信する場合など、ビジネスの場面において、個人データを第三者に提供する機会は多数存在します。
このような個人データの第三者提供ですが、個人情報保護法は第27条第1項で、「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と定め、原則として本人の同意を必要としています。
本稿では、適切な同意の取得方法や、同意が不要となる場合といった、個人データを取り扱う際の基本的な内容を整理していきます。
2.同意の取得方法
法律の条文では特に同意の取得方法についての言及はないのですが、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン通則編」といいます。)の2-6では、 「同意を得」るの解釈について以下のように整理されています。
「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事 業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、 成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権 者や法定代理人等から同意を得る必要がある。
ガイドライン通則編では、同意を得ているといえる場面として以下のようなケースが挙げられています。
・本人からの同意する旨の口頭による意思表示
・本人からの同意する旨の書面(電磁的記録を含む。)の受領
・本人からの同意する旨のメールの受信
・本人による同意する旨の確認欄へのチェック
・本人による同意する旨のホームページ上のボタンのクリック
・本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
上記のとおり、口頭での同意取得でも問題ないのですが、個人情報を取り扱う事業者としては、個人情報の取扱い状況について事後的に検証できるようにするためにも、記録に残るような形で同意を取得すべきです。
また、ガイドライン通則編3-6-1では
同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。
と同意取得にあたって事業者が対応すべき事項も指摘されています。
このような指摘からすると、単純にプライバシーポリシーのリンクを貼って「プライバシーポリシーに同意します」というチェックボックスにチェックさせるだけでは、同意を取得したことにはならない場合もありえることになります。
事業者としては、自社が提供するサービスの性質や、提供先、提供するデータの内容といった事情を十分に整理したうえで、ユーザーの視点にたって、このチェックボックスに同意することで、誰にどのようなデータが提供されるということを把握・理解できるのか、ということを検討する必要があります。
3.オプトアウト規定に基づく第三者提供
上記の本人同意の例外として、第27条第2項では、一定の事項をあらかじめ本人に通知するか又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、あらかじめ本人同意を得ることなく、個人データを第三者に提供できる旨が規定されています。
この規定はオプトアウトによる第三者提供の規定と呼ばれるものです。
オプトアウト規定の基本や、直近の改正の動向については、「【弁護士解説】オプトアウト規制の内容と改正動向について」(https://gvalaw.jp/blog/b20241031 )で解説していますので、併せてご確認ください。
4.「第三者」に該当しない場合
実務上、第三者提供規制の例外として頻繁に用いられているのが、以下の法27条第5項の規定です。
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
①個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
②合併その他の事由による事業の承継に伴って個人データが提供される場合
③特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
この規定は、一定の場合には提供先が「第三者」に該当しないとするものです。
同意が必要になるのは、個人データを第三者に提供する場合ですので、「第三者」に該当しなければそもそも同意が不要という整理になります。
法27条第5項では、「第三者」に該当しない場合として3つのケースを挙げていますが、実務上適用を検討する機会が多いのは①の「委託」に伴う提供です。
条文上「委託」とあるので、業務委託契約に基づく提供であればこの条文の提供があると誤解する方がいるのですが、そういうわけではありません。
ガイドライン通則編3-6-3(1)では「当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。」とされており、委託先が委託の範囲内での利用しかできないということが重要な要素になります。
そのため、事業者間でデータの提供を伴う業務委託契約を締結する際には、提供元の事業者は、契約書の中で、提供したデータが提供先で自由に利用できるという条件が設けられていないかを十分にチェックする必要があります。
この「委託」との関係で問題となるのが、クラウドサービスに個人データをアップロードする行為が「委託」に伴う提供と言えるのかどうかという点です。この点については「【弁護士解説】クラウドサービスの利用と個人情報保護法上の注意点」(https://gvalaw.jp/blog/b20240702 )にて解説していますので併せてご確認ください。
5.第三者が外国にある場合の対応
事業者が外国にある第三者に個人データを提供する場合には、上記までの規定に比べて対応事項が複雑になります。
(外国にある第三者への提供の制限) |
本人の同意が必要という原則自体に変わりはないのですが、「あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。」とされています。
広告配信のために外国にある第三者にユーザーデータを提供する場合や、外国にある第三者と業務提携をしてユーザーデータを共有する場合などには、提供先の個人情報保護法制を確認し、その情報をユーザーに提供したうえで同意をとる必要があります。
個人情報保護委員会が「外国における個人情報の保護に関する制度等の調査(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/ )」として一部の国の個人情報保護法法制について情報提供をしていますが、必ずしも最新の情報が示されているわけではありませんので、自社で調査することを念頭において対応を検討する必要があります。
以上
