個人情報の保護に関する法律についてのガイドライン(通則編)の一部改正
岩田合同法律事務所
弁護士 羽 間 弘 善
今般、個人情報保護委員会が作成した平成28年11月付「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「本ガイドライン」という。)が一部改正された。今般の本ガイドラインの改正については、下表の「委託」(個人情報の保護に関する法律(以下「法」という。)23条5項1号)に関する改正が重要であるため、以下では、かかる改正について説明する。
改正前 | 改正後 |
|
|
法では、個人情報取扱事業者が個人データを第三者に提供する場合には、原則として、予め本人からの同意を取得している必要があり(法23条1項)、かつ、個人データの授受の当事者は個人データの提供に関する記録義務(法25条1項)又は確認記録義務(法26条1項・3項)を遵守すべき旨が規定されている。
しかし、例外的に、個人データの取扱いの委託に伴って当該個人データが提供される場合には、当該個人データの提供を受ける者は「第三者」に対する提供に該当しない(法23条5項1号)ため、当該個人データの提供につき本人から同意を取得する必要はなく、また、個人データの授受にあたり個人データの提供に関する記録義務や確認記録義務を遵守する必要もない。
そのため、実務的には、個人データが授受される場合に、個人データの取扱いの委託に伴う個人データの提供であると整理した上で、法23条5項1号に該当するとして個人データの授受を行うという対応が頻繁に行われてきた。
しかし、今般の本ガイドラインの改正により、委託による個人データの提供の場合、委託先は、委託された業務以外に提供された個人データを取扱うことはできないことが明確化された。そこで、委託により個人データを提供する場合には、この点に留意しつつ、委託先において予定される個人データの利用方法をも踏まえて、真に(データ主体の個別同意を要しない)委託による個人データの提供と言えるのかについて、慎重に検討する必要があろう。
なお、今般の改正に伴って更新された個人情報保護委員会のQ&Aによれば、本ガイドラインにおいて禁止された「委託先が委託された業務以外で提供された個人データを取扱う場合」に該当する場合とは、例えば、①個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合や②複数の委託元から個人データの取扱いの委託を受けている者が、各委託元から提供された個人データを区別せずに混ぜて取り扱っている場合等がある(「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」Q5-26-2参照)とされている。
以 上