本人の同意なしに個人データを誰かに渡してはいけない
今回、第三者提供に関係する措置が大きく改正されました。
基本を押さえておくと、ポイントは次の2点になります。
改正の話をする前に第三者提供についての基本を押さえておきましょう。
①事前の本人同意の原則
②オブトアウトによる第三者提供
①は小さな会社やお店も知っておくべき事項になります、なお、「事前の本人同意の原則」は改正はありません。
「個人データ」を同意なしに第三者に提供してはいけません、しかし、提供してはいけないの
は「個人データ」です。
「個人情報単体」には、第三者への提供に関して制限はありません。
個人データを第三者に提供する場合には、あらかじめ本人の同意が必要なのが原則です。
いままで、個人データを誰かに渡しても違法ではなかった、個人情報の取り扱いが5000人以下
の小さな会社やお店は、本人の同意がなければ個人データを誰かに渡すことはできなくなり、
それをすると違法となります。
ただし、重大な例外は「委託、合併等、共同利用は、第三者提供にあたらない」ということです。
例をあげます、顧客から依頼を受けて配送先の氏名と住所を受け、その配送を自分の会社では
行わずに配送業者に依頼した場合、または、年賀状の宛先の印刷を印刷業者に依頼したとしま
す、これらは委託にあたるので、第三者提供には、なりません。
そして、本人の同意は不要です。
歴史的には金融機関等からの要望から定められたということがあり、共同利用も第三者提供に
はあたりませんが、一定の要件があります。
「グループ企業で共同利用する場合には第三者提供にはあたらない」とされています。
銀行を例にみてみましょう、銀行には証券会社や信託銀行などグループ企業がいろいろありま
す。
これは、ある銀行に預けた人の情報をグループ企業が利用する場合、すべての預金者の同意を
得ることはきわめて困難なので本人の同意は必要としないという意味を持つものなのです。
小さな会社でも、関連会社を持っているケースがよくあるので、これは小さな会社でも影響が
あります。
その際、本体の会社にだけ人事部があり、関連会社すべての人事情報を受け持っていることも
考えられます。
このように、グループ企業の間で個人データをやりとりすることには規制がかけられていません。
なので、グループ企業の共同利用なので本人の同意は必要としないのです。
本人が容易に知り得るようにホームページなどにわかりやすく書いておくか、以下の項目をあ
らかじめ本人に通知する必要があります。
①共同利用すること
②共同利用する者の範囲
③利用する者の利用目的
④その個人データの管理について責任を有する者の氏名または名称
委託と共同利用の第三者提供に関しては、本人の同意がいらないというのは、実務的には重要
なポイントです。
第三者提供を本人の同意なしにできる場合
1.以下にあたる場合
①法令に基づく場合
②人の生命、身体または財産の保護のために必要がある場合であって、
本人の同意を得ることが困難なとき
③公衆衛生の向上または児童の健全な育成の推進のために特に必要が
ある場合であって、本人の同意を得ることが困難なとき
④国の機関などが法令の定める事務を遂行することに対して協力する
必要がある場合であって、本人の同意を得ることにより当該事務の遂
行に支障を及ぼすおそれがあるとき
2.「オブトアウト」の方法を用いるとき
3.個人データの取り扱いを「委託」するとき
4.企業が合併するなど事業の承継に伴って提供されるとき
5.「共同利用」するとき
証拠が残る方法での「本人の同意」
本人の同意が必要なのは、個人データを第三者に提供する場合、個人情報を目的外利用する
場合、要配盧個人情報を取得する場合などです。
ガイドラインをみてみると、口頭または書面で確認することになりますが
具体的には、以下になります。
①本人からの同意する旨の書面の受領
②本人からの同意する旨のメールの受信
③本人による同意する旨の確認欄へのチェック
④本人による同意する旨のホームベージ上のボタンのクリック
事実として同意があればいいのです、法的には同意を得る手段に制限はありません。
本人の同意なしに第三者提供が可能な「オプトアウト」
最近、ときおり耳にする「オプトイン」とか「オプトアウト」という言葉。
「オプトアウト」とは、オプト(opt)とは「意思表示をする」というような意味でになります。
オプトインは、受け手の《承諾》が必要で「原則やらなくて、手をあげた人だけがやります」
ということです。
オブトアウトは、受け手の《承諾》が必要なしで「原則やりますが、イヤだといったらやめら
れます」となります。
つまり、原則と例外が反対になっています。
上記が「オプトイン」と「オプトアウト」という言葉の意味です。
日本の個人情報保護法では、個人情報を得ることに関して同意を必要ではありません。
利用目的を特定して、通知、公表しておけば個人情報を取得することができます。
一方、EU(ヨーロッパ連合)の個人情報保護法制は、オプトインに全体の考え方になってい
て、本人の同意がなければパーソナルデータを取り扱うことはできず、すべてに同意が必要に
なります。
オプトアウトなので「イヤだという人いた場合は、その人の個人データの提供は中止すること
ができるようにしておいてください」としています。
そして、個人データの第三者提供についてもオブトアウトが可能で、本人の同意なしに第三者
提供するとこができます。
日本の個人情報保護法の重要なポイントは「オブトアウトによれば同意なく第三者に提供できる」ことです。
これを遵守していれば、同意なく第三者に提供できます。
「オブトアウト」によれば同意なくできる第三者提供
下記にあげる、容易に知り得る状態に置いておくか、通知すれば第三者提供はできるというのが
改定法の第23条2項の1号から5号に示された5つです。
本人がイヤだといったらやめる。また、5つを簡単に知り得る状態、
たとえばホームページに記載しておくことで、第三者提供がで
きるということです。
第23条(略)
2個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。
以下この項について同じ。)について、本人の求めに応じて当該本人が識別される
個人データの第三者への提供を停止することとしている場合であって、
次に掲げる事項について個人情報保護委員会規則で定めるところにより、
あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、
個人情報保護委員会に届け出たときは、前項の規定にかかわらず、
当該個人データを第三者に提供することができる。
①第三者への提供を利用目的とすること。
②第三者に提供される個人データの項目
③第三者への提供の方法
④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
⑤本人の求めを受け付ける方法
3個人情報取扱事業者は、前項第二号、第三号または第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
条文の空文化が浮き彫りになった個人情報が流出した事件
2014年に大規模な個人情報流出が発覚した大手教育出版系企業での事件を記憶されている型の
多いと思います。
この事件では、膨大な量の個人情報データ盗んだのは関係者で、盗んだ名簿を業者に売りました。
名簿業者はさらに名簿業者に転売。こうして名簿業者間での転売を繰り返し、最後に名簿を買った企業が名簿に載っている人にダイレクトメールを送りました。
現実に名簿業者の間で個人情報が転々としていることは、完全に「適法」でした。
これは、名簿業者はオプトアウトを行っているからです。
名簿業者の事務所には、「弊社は個人情報を第三者提供していて、イヤな場合は○○に連絡し
てください」と明示されています。
ですが、私たちは、自分の個人情報をいまどこの業者が扱っていて、
その業者がオブトアウトで第三者提供しているのかどうかの情報がまったくなくわかりませ
ん。
それが現実で今の現代社会です。
オブトアウトに関する条文は、意味がない状態で空文化になってしまっています。
「どこの業者が自分の情報を転売しているのか分らないのに、オブトアウト
に意味がないのでは」という、ごく当たり前の疑問が生じてきました。
その結果、今回、改正が行われました。
改正されたオブトアウトの方法
いままでは、オプトアウトで自社ホームページで公開しておくか、
または、オフイスに掲示しておけばよかったのが、今後は個人情報保護委員会への届出が必要
になり、それを個人情報保護委員会が公表することになったのです。
以下が、今回の改正のポイントです。
なので、私の個人データの第三者提供はやめてください」といえば、やめられるとい
う仕組みに変わります。
具体的に言うと、個人情報保護委員会のホームページを見ると現在オプトアウトで
個人データを第三者提供している会社のリストが並びそのリストを見て「やめてださい」と申
し入れることができるのです。
しかし、個々の立場で考えると、オプトアウトを行っている会社のリストを見たとしても、
その会社が自分の個人データを持っているかどうまではわかりません、これが実効性があるのかは疑問ではあります。
ただ、確かに自分の個人データを所有している会社あるというとこがわかれば、
その会社の第三者提供を停止してもらえばいいので、どこかに個人データがオプトアウト
されるといったことはなくなるので、そのとこでいえば効果はあるでしょう。
企業側から見ると、頻繁にオブトアウトによる第三者提供は行われている
ことから考えると、すべてを届ける必要がある、今回の改正は大きな規制強化といえます。
2017年3月1日から、オプトアウトによる第三者提供に関する個人情報保護委員会への届出が
必要になりました。
個人情報流出事件を教訓としてトレーサビリテイが義務づけられた
大手教育出版系企業の大規模個人情報流出事件を機に、3つの問題があがりました。
①「オブトアウト」の問題
②罰則がない
③名簿の転売ルートを追跡できない
それは、誰から誰に名簿が渡り、誰から買ったのかわからないことです。
大手教育出版系企業の事件で最終的に名簿を買った企業は、「名簿業者が適法に取得したもの
と前提で普通に購入」しています。
購入した名簿がどのようなルートで流出したのかは、それぞれの名簿業者は知ろうと思していません。
あくまで適法に取得できたていたのです。
この現状はおかしいという議論が起こり、名簿の転売ルートがトレースできないことには、
個人情報流出事件は防ぎようがないと問題になったのです。
その結果、「トレーサビリテイ」に関する規定が作られました。
トレーサビリテイとは、流通過程が追跡可能な状態であることをいい「跡をたどることができ
る」の意味です。
第三者提供をする際には、説明と記録の義務を負わせて情報流通の経路を追跡できるようにす
る改正で、トレーサビリティを義務づけたのです。
第三者提供で提供する側・される側の双方に記録・説明義務が発生
提供する側の義務として記録義務があります。
第25条1項で「個人情報取扱事業者は、個人データを第三者に提供したときは、
個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、
当該第三者の氏名または名称その他の個人情報保護委員会規則で定める事項に関する記録を
作成しなければならない」とされたのです。
そして、その記録を規則で定める期間は保存しなければいけません。
たとえば、ある会社が別の会社に個人データを提供するときには、
「誰にいつ提供したのか」をすべて記録として残し、保存する義務が発生します。
そして、提供を受ける側にも確認・記録義務があります。
トレーサビリティの導入は、企業にすると非常に負担が大きく
なる改正です。
第26条1項で「次に掲げる事項の確認を行わなければならない」とし、
1号で「当該第三者の氏名または名称及び住所並びに法人にあっては、
その代表者の氏名」とされ、そして、2号では「個人データの取得の経緯」を確認しないとい
けません。
つまり、データ取得の経緯を、データを提供する側に「あなたはこの情報をどこからどうやっ
て入手したのですか」確認することが新たに定めらました。
当然、同じように提供する側もその経緯の説明が義務づけられ、
これはとても大きな改正のポイントとなっています。
これからは、提供する側が記録し個人データを提供する際には「いつ誰に提供したのか」、
「どうやって入手した情報であるのか」を説明しなければいけません。
同じように受け取る側も「いつ誰から入手したのか」を記録に残し、「その個人データをどこか
らどうやって入手したのか」入手経路を確認後、記録に残して保存する必要があります。
これは実務の上では、かなり実効性のある改正ですが、非常に負担が大きいのが問題です。
大手教育出版系企業の事件にてらしあわせると、名簿を買った企業は、提供を受けた経緯を確
認する義務があります。
結果、大手教育出版系企業の会員個人データで、従業員から入手したものだと知り得ることに
なるでしょう。
その時に、情報の内容から流通するはずのない個人データだと考え、購入することをやめる判
断をすることでしょう。
なぜなら、個人データには適正取得の義務があり、これを怠ると適正取得違反になります。
大手教育出版系企業の会員の個人情報だとわかった時点で、会員の個人情報を取得する企業は
なくなることでしょう。
個人情報のデータを違法に渡したときの刑罰
マイナンバー法では先に提供の罪が定められたのですが、
個人情報保護法に提供罪ができました。新しく刑罰が定められたのです。
個人情報データベース等を不正に提供したり、または盗用したときには罪せられます。
先の大手教育出版系企業のような事件が発生した場合は、違反した個人が
1年以下の懲役または50万円以下の罰金に処せられます。
まとめ
これまで、「第三者提供」について詳しくみてきました。
「第三者提供についての義務がある」とあり、今回、提供に関する対応は大きく改正
されています。
それが、事前の本人同意の原則で、オブトアウトによる第三者提供です。
個人データを誰かに渡しても違法ではありませんでしたが、
今後は違法になるので、本人の同意がなければ個人データを誰かに渡すことはできません。
しかし、委託(配送や印刷業者等)と共同利用(グループ企業間)なら同意は不要になります
が、事前の通知は必要です。
第三者提供に関する義務が改正されました。
それは、提供する側・される側の双方に記録・説明義務あるということです。
これによって、企業の負担は重いくなりましたが、実効性は期待できるものとなりました。