[個人情報保護法]
第5回:第三者提供の場面(後編)

2021/01/15

著者:光和総合法律事務所 弁護士 渡邊涼介
企業法務
個人情報保護法 第三者提供の場面(後編)

1.第三者提供時における確認・記録義務

企業が第三者から個人データの提供を受け、また第三者に個人データを提供する場合、違法に入手された個人データが流通することを抑止するため、当該第三者が当該個人データを取得した経緯等を確認する義務や当該第三者の氏名等の記録を作成・保存する義務が課されている。

第三者から個人データの提供を受けたときは、当該第三者が当該個人データを取得した経緯等を確認しなければならない(個人情報保護法(以下「法」という。)26条)。また、事業者は、個人データを第三者に提供したときは、提供年月日、受領者の氏名等を記録し、一定期間保存しなければならない(法25条)。

もっとも、①解釈上、確認・記録義務が課されない場合、②「個人データ」等に該当しないと整理できる場合、③本人との契約等に基づいて提供した場合、④反復継続して提供する場合、⑤記録事項として、第三者提供について本人同意がある場合には、それぞれの事項に応じ、法25条、26条の義務は不適用又は軽減される。

2.個人情報を加工しての提供

対象データが個人データに該当しない場合には、第三者提供に該当しない。このため、個人に関する情報を第三者に提供したいけれども、本人同意を得ることが困難な場合には、匿名加工情報や統計情報に加工して提供することが一般的である。

(1)匿名加工情報

匿名加工情報とは、個人情報を加工して、通常人の判断をもって、①特定の個人を識別できず、②加工する前の個人情報を復元することができないようにしたものをいう(法2条9項)。適切な加工のほか、安全管理措置、公表を行う必要があるほか、識別行為が禁止されている。
加工により、「個人に関する情報」には該当するけれども、個人情報には当たらない扱いとなる。このため、匿名加工情報にすると、本人の同意がなくとも、目的外利用をすることや第三者提供が可能となるメリットがある。
匿名加工情報とするための加工基準については、個人情報保護委員会がガイドラインなどを公表しているけれども、匿名加工情報に該当するかについては、最終的には個別具体的な判断が必要となるため、注意が必要である。

(2)統計情報

統計情報とは、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報をいう。一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しないものとされている。匿名加工情報と異なり、個人単位の「個人に関する情報」に該当しない。
提供先で統計情報レベルでのデータ利活用が可能であれば、自由な利活用が可能となり、有益である。

(3)データ利活用における個人情報の加工の考え方

第3回で説明したように、令和2年個人情報保護法改正では、仮名加工情報という概念が追加されている。このため、改正法施行後は、自社内に大量の個人情報がある事業者において、内部分析の対象の選択肢が増えることとなる。
具体的には、個人情報を利用するケース、特に第三者提供同意の取得の困難性や提供先のニーズなど応じて、①第三者に対して、個人データを加工せずに提供する場合には、本人からの同意を取得して、第三者提供をする(法23条1項)、②第三者に対して、本人が一切わからない程度まで加工した情報を提供する場合には、匿名加工情報に加工して、本人からの第三者提供同意を取得せずに提供する、③提供先において、統計情報の利用で足りる場合には、統計情報に加工して提供することとなる。また、④取得時の利用目的以外で、第三者に提供せずに内部で分析をする場合には、仮名加工情報に加工して利用することになる。

※個人情報、仮名加工情報、匿名加工情報、統計情報の比較

個人情報、仮名加工情報、匿名加工情報、統計情報の比較表

3.提供先において個人データとなる情報の取扱い(個人関連情報)

令和2年改正法では、提供元は、個人データに該当しない場合でも、第三者(提供先)において個人データとなることが想定される情報の第三者提供において、本人同意が得られていること等の確認を義務付けることとされている(改正法26条の2)。そして、確認事項は、「当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること」とされている(改正法26条の2第1項1号)。

個人関連情報は、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものとされており、その対象には、例えば、個人情報とひも付いていない、インターネットの閲覧履歴、位置情報、クッキーが含まれる。

これまで、個人データを第三者に提供する場面において、個人データの該当性について、提供元と提供先のいずれを基準として判断するかについては、実務上、提供元を基準にする見解(提供元基準説)を前提として運用されてきた。改正法26条の2の新設により、提供先において個人データとなることが想定される情報の第三者提供については、提供元による確認が義務付けられることとなった。

個人データを第三者に提供する場面の個人データの該当性についてのイメージ

もっとも、①「提供先において個人データとなることが想定され」ることが必要とされているが、どのような場合がこれに当たるのか文言上明らかではない、また、②「本人の同意が得られていること等」の確認方法については個人情報保護委員会規則で定めるとされているなど、実際にどのような対応が必要になるかについては、今後公表される個人情報保護委員会規則、ガイドラインなどの記載を参考にする必要がある。

個人情報・マイナンバー関連書式

  • 著者プロフィール

渡邊涼介

平成19年弁護士登録(第一東京弁護士会)、総務省総合通信基盤局電気通信事業部専門職(平成26年~平成29年)
令和元年から同2年まで、内閣サイバーセキュリティセンター(NISC)サイバーセキュリティ関連法令の調査検討等を目的としたサブワーキンググループにおけるタスクフォース構成員
主な著作として、「データ利活用とプライバシー・個人情報保護 最新の実務問題に関する解決事例108」(青林書院、2020)、「企業における個人情報・プライバシー情報の利活用と管理」(青林書院、2018)がある。

この著者の関連記事