M&P Legal Note 2018 No.8-1
個人情報保護関連①(個人情報の第三者提供に関して)
2018年10月22日
松田綜合法律事務所
弁護士 佐藤 智明
第1 はじめに
改正個人情報保護法が平成29年5月30日に全面施行されてから、早くも1年以上が経過しました。企業の皆様におかれましては、日々、個人情報保護法の実務運用において様々な問題に直面していることと存じますが、施行から1年以上を経過して、これまで当事務所がご相談を受けた中で、企業の皆様がお悩みになっていると感じる個人情報保護法のポイントについて、改めて概要のご説明をしたいと思います。
本稿でご説明する個人情報保護法のポイントは、個人情報の第三者提供です。
本稿では、どのような場合に、個人情報保護法上の第三者提供に該当するのかを明らかにしつつ、第三者提供に該当した場合に個人情報取扱事業者がとるべき確認・記録義務の内容等についてご説明を致します。
第2 第三者提供について
1 個人情報とは
はじめに、個人情報とは具体的にどういうものかを確認しておきます。
なお、個人情報保護法は「個人情報」と「個人データ」とで用語を区別しており、後者についてのみ、第三者提供をはじめとする個人情報保護法上の規制を課していますが、本稿では説明の便宜上「個人情報」という言葉を用います。
(1)個人情報保護法上の定義
まず、個人情報の定義については、個人情報保護法上第2条第1項第1号において、以下のとおり定められています(下線部筆者)。
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号 のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その 他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)特定の個人を識別
上記のとおり、個人情報であるために「特定の個人を識別することができる」ことが求められています。この意味は、「社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができること」をいうとされています(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A Q1-1)
(3)容易照合性
上記のとおり、個人情報には、「(他の情報と容易に照合すること ができ、それにより特定の個人を識別することができることとなるものを含む。)」とあるように、ある情報それ自体からは識別ができなくても、他の情報と容易に照合することによって特定の個人を識別することができる(以下「容易照合性」といいます)のであれば、当該情報も個人情報となります。
2 第三者提供とは
(1)問題点
個人情報の第三者提供とは、その言葉通り、個人情報を第三者に提供することを意味します。
提供とは、自己以外の者が利用可能な状態に置くことをいいます(個人情報の保護に関する法律についてのガイドライン(通則編) 25頁)。
そして、ここでいう個人情報は、既に確認したように、ある情報それ自体では特定の個人を識別できなくても、他の情報との容易照合性があれば個人情報に該当することになります。
ここで、個人情報の第三者提供に該当するのか否かが問題となりうる事例として、次のような例を想定してみます。
事例:A社が自らの運営するサービスの会員情報の一部をB社に提供する場合において、A社にとっては自らが保有している他の情報と照合することで、特定の会員(個人)を識別することは可能だが、他方、B社にとっては容易照合性がなく、特定の個人を識別することができない事例。
つまり、ここでは、誰にとって、すなわち提供をする側、提供を受ける側のいずれにとって容易照合性がある場合に個人情報の第三者提供に該当するのか、という点が問題となります。
(2)提供元における容易照合性を基準とすることが明らかにされた
平成29年5月30日に施行された改正個人情報保護法においても、この点に関する改正は、特にありませんでした。また、個人情報保護委員会が策定した個人情報保護法のガイドラインにおいても、その点の解釈は明記されてはいません。
しかし、個人情報保護法の改正にあたって、この点についての議論はなされており、提供元における容易照合性の有無を基準として判断する考え方(提供元基準説)によることが、政府部内の検討会で明らかとされました(パーソナルデータに関する検討会 第7回資料1-2「「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<詳細編>」2頁)。
また、個人情報保護法のガイドライン策定にあたってのパブリックコメントにおいても、以下の考え方を示して、提供元基準説に立つことを明確にしました。
「ある情報を第三者に提供する場合、当該情報が「他の情報と容易に照合することができ、それにより特 定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特 定の個人を識別することができることとなる」かどうかで判断します。」(「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果 №19)
これにより、実務的な運用は、提供元基準説にそって行う必要があることになりました。
(3)上記事例について
そうすると、上記の事例においては、A社が、会員情報の一部をB社に提供することは個人情報の第三者提供に該当することになります。
第3 まとめ
以上、基本的かつ単純な事例を基にして、個人情報保護法上の第三者提供についてご説明しました。実務上は会員情報の一部ではなく、匿名化や暗号化されたデータを提供する例も多く、その場合にも、提供元において容易照合性があれば、第三者提供に該当することになります。
現在、様々な分野において、データの利活用が進んでいます。当事務所へのご相談者の中にも、データの利活用を行うことを想定してサービスを開始される方が多くいらっしゃいます。その中には、個人情報の第三者提供に該当する例も当然ありますが、中には、第三者提供の該当性について不明なままご相談にいらっしゃったり、また、そもそも当初は第三者提供に該当することを認識されておらず、検討の過程で第三者提供に該当することが明らかになってくる例などもあります。
インターネットやスマートフォンが発達した現代においては、一般の個人があらゆる場面で様々な情報のやり取りがなされることが多く、個人の皆様もセンシティブになりがちです。そのため、法令を遵守して個人にとって安心かつ安全なサービス運営をすることは、企業にとってもリスクを低減させることにつながるといえるでしょう。
次回は、提供元基準説における実務への影響についても補足しながら、第三者提供を行う場合における個人情報取扱事業者がとるべき確認・記録義務の内容等についてもご説明します。
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
弁護士 佐藤 智明
info@jmatsuda-law.com
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく具体的な法律アドバイスなしに行為されないようご留意下さい。