厳格化する個人情報の取り扱い、第三者提供の注意点

個人情報保護法法律 2020.08.28
厳格化する個人情報の取り扱い、第三者提供の注意点

データマーケティングの市場拡大を背景に起きた不正なデータ使用が世界的な問題となったことなどにより、個人情報の取り扱いやデータの第三者提供におけるルールは今、世界的な厳格化が進んでいます。技術の進歩の中、そのルールはこの先も変化や強化が進むことが考えられ、企業には柔軟かつ確実な対応が求められます。

ここでは、「データの第三者提供時の取り扱い」やその注意点について、2020年6月に可決・成立した「改正個人情報保護法」の内容を踏まえながらご紹介します。

1.「第三者提供」とは

第三者提供とは、個人情報保護法の概念において「個人データを取得者以外の第三者に提供すること」を指します。

改正個人情報保護法では、第三者提供に際してはユーザーから同意を得るなど、所定のルールを遵守するよう定めています。違反時には法人の場合で最大1億円という高額な罰金が科せられる恐れがあり、企業は十分な対策を講じる必要があります。

では具体的に、どのような点に注意をしなければいけないのでしょうか。

2.原則としてユーザーの同意取得が重要になる

個人データ(個人特定の可能性がある情報をデータベース化したもの)を第三者に提供するときには、原則としてユーザーに承諾を取ることが求められます。利用目的・取得するデータ・第三者への提供方法・提供停止の申し出を受け入れる旨の通知など、ユーザーに対して説明すべき事項は多岐にわたります。

また、第三者提供を受ける側の事業者にも、提供者が同意を得ていることを確認すべきケースが存在します。受け取る側だからといって対策を怠ることなく、データを扱う立場として責任を負うことを覚えておきましょう。

3. ユーザーの同意が不要なケース

一方、例外的に第三者提供の同意が不要なケースもあります。下記のような場合がそれに当たります。

警察・裁判所による照会など法令に基づく要請

警察や裁判所、税務署などの公的機関から法令に則った要請を受けた場合は、同意が免除されます。公共の福祉が優先されるためです。

生命・身体・財産の保護に必要

災害時など本人の同意を得ることが困難で、かつ生命・身体・財産の保護のために必要と判断された場合も免除対象です。たとえば、輸血のために被災者の血液型や病歴を知る必要がある場合などが該当します。

児童虐待の情報など「公衆衛生・児童の健全育成に必要」

虐待を受けている子どもの情報を関連機関(学校・保護施設など)で共有する場合も同意が免除されます。生命の危険にさらされていることはもちろん、それに対して公に主張することが難しい児童や幼児の安全を守るためでもあります。

ここまでの3つはいずれも、「同意取得が難しいが、身の安全などプライバシーより優先されるべき事柄がある」と判断される場合において義務が免除されるケースです。

委託・共同利用であれば同意が不要

そのほか、業務の委託先へのデータの提供、あるいは共同利用においては同意が必要ありません。ただし、委託においては「委託先の監督義務」が、共同利用では「共同利用する旨の本人への通知・あるいは一般への公開」が求められる場合があり、みだりに悪用できないよう工夫されています。

4. 提供時のルール

それでは、提供時のルールを見ていきましょう。今回の改正により、現行の規則よりも厳しいルールが定められましたので、提供時には注意が必要です。

利用目的を明確化したうえで本人の同意を得る

「取得した情報を何に使うのか」と「第三者提供を行うこと」を明確に公表しなければなりません。「明確に」という点が重要で、事業改善のため、サービス向上のためなどといったあいまいな記述では認められない可能性があります。たとえば「商品発送のため」というように、具体的な内容を通知しましょう。

個人情報を提供したことを記録する

第三者提供を行う際には、日時・提供先・取得の方法・同意の有無・提供項目などを記録する義務があります。これは、どこから提供された情報なのか、その責任の所在を明確にして、データの無責任な二次提供、三次提供を防ぐためです。

ユーザー本人の開示請求に応じる

今回の改正により、上記の「個人データを第三者に提供した記録」をユーザーが開示請求できるようになりました。現時点で開示までの期限は明確化されていませんが、慌てず対応できるように企業内でフローを整えておくべきです。

5. 見落としがちな注意点

最後に、第三者提供の際に落とし穴となりうるポイントをご紹介しますので、ぜひ参考にしてください。

提供記録は3年間の保存義務がある

上述した「個人データを第三者に提供した記録」は、最低3年間保存しておくよう定められています。該当データの利用が終了した後でも削除してしまわないよう、期限が過ぎるまで整理しておきましょう。

本人からの申し出により提供を停止する義務がある

ユーザー本人から申請を受けたときには、速やかに第三者提供を停止しなければなりません。また、「ユーザーが停止を申請する方法(問い合わせ先等)」について、あらかじめプライバシーポリシーなどで公表しておかなければならない場合もあります。

どこにどのユーザーのデータが含まれているのかを把握しておかなければ、提供停止は困難です。社内の個人データ管理体制を整えておきましょう。

「オプトアウト」では提供できないデータがある

オプトアウトとは、事前に個人情報保護委員会の承認を得ることで「ユーザーが停止を申し出ない限り、常に第三者提供へ同意したとみなす」ルールです。実務上非常に便利なルールですが、今回の改正で、提供できるデータに制限が追加されました。すでに禁止されていたものとあわせ、「要配慮個人情報」「オプトアウトで得た個人データ」「不正取得した個人データ」の3点に注意しましょう。

  • 要配慮個人情報

人種・犯罪歴・宗教・障害の有無など「差別や偏見に繋がるデータ」のことです。このような、ユーザーに不利益を与えかねないデータはオプトアウトできません。

  • オプトアウトで得た個人データ

「オプトアウトで第三者提供されたデータ」を受け取った事業者が、そのまま他の事業者に再度「第三者提供(オプトアウト)」してはならないというルールです。これにより、オプトアウトを許可されたデータが際限なく他の事業者へ再提供されてしまうことを防ぎます。

  • 不正取得した個人データ

当然ながら、不正に取得したデータもオプトアウトしてはいけません。ここで気をつけたいのは、自社はもちろんのこと、他社が不正に取得したデータも含まれる点です。受け取り側の事業者には、そのデータがどのようにして取得されたものなのかを把握するよう求められるケースがあります。

Cookieなど「他データとの組み合わせ」で個人データになるものも対象

今回の法改正により、オンライン識別子(Cookie、IPアドレスなど)に代表される「他のデータと組み合わせると個人が特定できるデータ」も保護の対象となりました。これはGDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)の成立により、海外ではすでにオンライン識別子が個人情報扱いされている状況を受けたものです。

厳密には、オンライン識別子は今回の改正後も「完全な個人データ」ではなく、特定の使用方法において、ユーザーからの事前の同意取得が重要となるデータです。しかし、たとえ国内の企業であってもGDPRやCCPAが適応される可能性があること、また今後の改正でもオンライン識別子の取り扱いは厳格化していくことが予想されることなどから、他の個人データと同じように慎重な取り扱いを心がける必要があります。

6. まとめ

第三者提供を行うためには、改正個人情報保護法をしっかりと理解し、ルールを厳守しなければなりません。昨今の情勢を鑑みれば、今後もプライバシー保護を強化する方向にさらに改正が進むことは間違いないでしょう。

企業内の個人情報保護の枠組みをできるだけ早く整え、間違いのない第三者提供のための対策をとることが、ますます大切になっていくはずです。