個人情報保護法第三者提供の制限

個人情報保護法を分かりやすく解説します。

個人情報保護法第三者提供の制限 目次

個人情報の提供と委託の違いについて

M&Aで買収した会社の個人情報は利用できますか?

共同利用における第三者に該当しない要件

オプトアウトとは

個人情報の社内共有について

個人情報の第三者への提供

個人情報保護法第23条:第三者提供の制限

プライバシーマークを取得する際には、個人情報の扱いをはっきりさせることが必要です。

個人情報は、個人情報保護法に基づいて、提供されることや預託されることがあります。

では、提供と預託とは、どのような違いがあるのでしょう。

実は、この提供と預託は、ずいぶん意味が違います。

個人情報を提供するというのは、事業者が、当該事業者以外のものに、自らが保有する個人情報を利用可能にすることです。

言い換えれば、「この個人情報をあなたに差し上げますから、あなたの責任においてご自由に使ってください。」ということです。

一方、個人情報を預託するというのは、事業者が、当該事業者以外のものに、情報処理を委託するなどのために自らが保有する個人情報を預けることです。

これは、自社の業務遂行のために、個人情報を自社以外のものに預けるということで、この場合、個人情報の取り扱い責任は委託元にあり、委託した個人情報の安全管理に対する監督が義務づけられています。

M&Aで買収した会社の個人情報は利用できますか?


はい。できます。

M&Aなどで他の個人情報取扱事業者から会社や事業を継承した場合、すでに取得している個人情報は、譲渡前の利用目的の範囲内に限り、改めて本人の同意を取らずに利用することができます。

これについては、個人情報保護法第23条4項に、事業継承に伴う提供に記述されています。

具体例としては、
合併・分社化による新会社に顧客情報を提供する場合
営業譲渡により、譲渡先企業に顧客情報を提供する場合

などが挙げられます。

産業界では事業再編の流れが広がっており、そうした状況に応じた法律になっています。

個人データを特定の者との間で共同して利用する場合、次の(1)〜(4)の情報をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、共同して利用することを明らかにしている場合は、第三者に該当しない。

(1)共同して利用される個人データの項目
 ・氏名、住所、電話番号
 ・氏名、商品購入履歴

(2)共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)

(3)利用する者の利用目的(共同して利用する個人データのすべての利用目的)

(4)開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権利を有する事業者を、「責任を有する者」といい、共同利用者の内部の責任者をいうのではない。)

オプトアウトって何ですか?

個人情報を第三者に提供する場合、原則として、本人の同意が必要なのですが、オプトアウトすることで提供が可能です。

第三者提供におけるオプトアウトとは、提供にあたりあらかじめ以下の4項目を本人に通知するかまたは、
本人が容易に知りえる状態に置いておくと共に、本人の求めに応じて第三者への提供を停止することを言います。

オプトアウトの4つの用件とは、
・第三者への提供を利用目的とすること
・第三者に提供される個人データの項目
・第三者への提供の手段又は方法
・本人の求めに応じて第三者への提供を停止すること

具体的に、オプトアウトが認められている例を挙げておきます。

・住宅地図業者が表札や郵便受けを調べて住宅地図を作成し、販売すること
・データベース事業者がダイレクトメール用の名簿等を作成し、販売すること
(経済産業省ガイドライン参考)

同じ社内であれば、収集した個人情報を提供することができます。

グループ企業の場合は、別組織となりますので、本人の同意なく提供することはできません。

同じ社内で提供された個人情報はあくまでも取得した際に通知・公表した利用目的の範囲内での利用に限定されます。
それ以外の目的で使用することはできません。

他部門に行き渡った個人情報のアクセス権が正しく設定されているか安全管理措置に注意を払う必要があります。

個人情報の提供とは、収集した個人情報を他の事業者等に提供することを言います。

たとえば、金融機関が延滞などの事故情報にかかわる氏名、生年月日、性別、電話番号、住所などの個人情報を、個人信用情報機関に提供するケースがあります。

個人情報の低起用は、原則として収集目的の範囲内で行わなければなりません。

尚、企業等が収集目的の達成に必要な範囲内で個人情報の取扱いを委託する場合や合併などにおいて、個人情報を提供する場合には、第三者提供に該当しません。

第二十三条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

ランキングにご協力お願い致します。
最新記事