澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「【トラブルは未然に回避!】個人情報の第三者提供で気をつけるべきこと」
について、詳しく解説します。
当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから
「同意」が必要な場面
どのようなときに「同意」が必要か?
利用者の個人に関する情報を取得する場合や取得した個人に関する情報を第三者に提供するような場合、個人情報の保護に関する法律(以下、「個人情報保護法」といいます。)に違反しないか心配ですね。
では、どのような場合に利用者の同意が必要なのでしょうか。
個人情報保護法上、本人の同意を取得する必要があるのは次の場合です。
- すでに特定している利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合(個人情報保護法18条1項)
- 合併等により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合で、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて当該個人情報を取り扱うとき(個人情報保護法18条2項)
- 事業者が、要配慮個人情報を取得する場合(個人情報保護法20条2項)
- 個人データを第三者に提供する場合(個人情報保護法27条1項本文)
- 外国にある第三者に個人情報を提供する場合(個人情報保護法28条)
①と②は個人情報を利用目的の範囲外で利用する場合ですね。
④と⑤は第三者に提供する場合です。
「同意」取得済みであることを確認すべき場面
また、次の場合、あらかじめ本人の同意が得られていることを確認する必要があります。
- 個人データに該当しない情報(個人関連情報※)を第三者に提供する場合であっても、提供先で個人データとなることが想定されるとき(個人情報保護法31条1項)
個人情報等の用語の確認
ここで、「個人に関する情報」、「個人情報」、「要配慮個人情報」、「個人データ」、「個人関連情報」という言葉が出てきました。
それぞれの定義は次のとおりです。(詳細は別記事「「個人情報」って何を指すの?【正しく理解することが重要!】」もご参照ください。)
個人に関する情報 |
氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。 |
|---|---|
個人情報 |
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)、又は個人識別符号(※1)が含まれるもの。 |
要配慮個人情報 |
不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実、身体・知的・精神障害等の記述等が含まれる個人情報。 |
個人関連情報 |
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの。 |
個人データ |
個人情報取扱事業者が管理する「個人情報データベース等」(※2)を構成する個人情報。 |
※1 |
当該情報単体から特定の個人を識別できるものとして個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)に定められた文字、番号、記号その他の符号(政令で定められた個人識別符号は細胞から採取されたDNAを構成する塩基の配列、指紋や掌紋、虹彩の模様等。) |
※2 |
特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物。 |
この「個人に関する情報」、「個人関連情報」、「個人情報」、「要配慮個人情報」などを表にすると次のようなイメージです。
「個人に関する情報」は他の情報を包含するものです。
小括
このように、特定した利用目的の範囲外で個人情報を利用する場合や、第三者に個人データ(外国 にある第三者の場合は個人情報)を提供する際には本人の同意が必要です。
また、個人関連情報であっても、第三者に提供する際には注意が必要ということがわかりましたね。
例外的に「同意」が不要な場面
では、前述の①乃至⑤の「本人の同意が必要となるケース」に該当する全てのケースで本人の同意が必要なのでしょうか。
個人情報保護法では、次の場合は本人の同意が不要とされています。
①及び②個人情報を利用目的の範囲外で利用する場合で本人の同意が不要な場合
④個人データを第三者に提供をする場合で本人の同意が不要な場合
法令に基づく場合、又は、人の生命、身体若しくは財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等。
ⅰ本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること(オプトアウト)としている場合
ⅱ一定の事項を
事前に本人へ通知 又は 本人が容易に知り得る状態に置いている
ⅲ個人情報保護委員会への届出
上記ⅰ~ⅲの要件を満たす場合
本人との関係で、実質的に当該事業者と同視できる者は、第三者に該当しないものとし、個人データの提供に際して、事前の本人同意が不要。
具体的には、
ⅰ委託先への提供
ⅱ合併等に伴う提供
ⅲグループによる共同利用の場合
⑤個人情報を外国にある第三者に提供する場合で本人の同意が不要な場合
ⅰ個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護に関する制度を有している外国にある第三者に提供する場合。
ⅱ個人データの取扱いについて我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制を整備している外国にある第三者に提供する場合。
このように、利用目的の変更や、オプトアウトにより本人の同意が不要となる場合があります。ただし、個人情報保護法の改正後、オプトアウトの要件は大変厳格なものとなっているので、注意が必要です。
「同意」の取得方法
では、本人の同意が必要な場合、どのように本人の同意を取得すればよいのでしょうか。
「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいいます。
また、この「本人の同意」を得るためには、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないとされています(ガイドライン2-16)。
では、具体的にはどのような時期にどのような方法により本人の同意を取得したらよいのでしょうか。
なお、本人が未成年者などの場合は、親権者や法定代理人等から同意を得る必要があります。
書面による同意の要否
口頭による同意も有効です。
ガイドラインによれば、次のような場合には本人の同意を得ていると言えます。
【本人の同意を得ている事例】
- 事例1)本人からの同意する旨の口頭による意思表示
- 事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領
- 事例3)本人からの同意する旨のメールの受信
- 事例4)本人による同意する旨の確認欄へのチェック
- 事例5)本人による同意する旨のホームページ上のボタンのクリック
- 事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
しかし、後日の紛争防止のためには、書面又は電磁的記録により同意を取得することが望ましいです。
金融分野における個人情報保護に関するガイドラインにおける、同意取得の要件は次のとおりです。
① 個人データの提供先の第三者
② 提供先の第三者における利用目的
③ 第三者に提供される個人データの項目
を本人に認識させた上で同意を得ることとする。」
このようなガイドラインを参考にすると安心ですね。
同意取得の時期
- 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う前
あるいは
- 当該個人データを第三者へ提供する前
に本人の同意を得る必要があります。
個人データの第三者提供を想定している場合、個人情報を取得する際に、第三者提供の同意を得ると同時に、個人情報を第三者提供する旨の利用目的を本人に通知・公表等しておく必要があります
同意取得の範囲
第三者提供のたびに同意を得る必要はなく、予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
なお、個人情報保護法の改正以前は広くオプトアウト方式による同意の取得が可能でしたが、改正後は個人情報保護委員会の届出を必須とするなど、厳格な要件を満たす必要があります。
個人情報保護法以外の配慮の必要性
適切な同意取得のために
これまでは、形だけ本人の同意をとればよいという考えで進めてきた事業者も多いのではないでしょうか。
しかし、形だけの同意では、本当に「本人の同意」を得たと言えるのか、後日、問題となる可能性があります。
では適切な「本人の同意」はどのようにしたら得られるのでしょうか。
より適切な「本人の同意」を得たと言えるために、GDPRの規定を参考とするとよいでしょう。
GDPR4条(11)では、データ主体の「同意」とは、
- ①自由に与えられ、
- ②特定され、
- ③事前に説明を受けた上での、
- ④不明瞭ではない、
データ主体の意思の表示を意味するとされています。
また、同7条の同意の要件では
- ⑤同意がいつでも簡単に撤回可能であること
も必要とされています。
例えば、①について、データ主体が同意を強制されたと感じるような場合や、同意しない場合に不利益があると感じるような場合、「自由に与えられ」た同意と言えません。
また、④について、同意は積極的な行為によるものが必要とされています。 このような要件を参考にして、より適切な同意を取得するようにしましょう。
プライバシー保護の観点
個人情報保護法が適用されない個人情報や個人データ以外の情報であっても、プライバシーに配慮すべき情報があります。そのような情報の取り扱いによりプライバシーを侵害すれば、損害賠償請求等を受ける可能性もあります。
プライバシーを侵害しないためには、本人が当該情報の利用内容を理解できるような説明をし、本人から適切に同意を取得することが大切です。適切な同意があれば、そもそもプライバシー侵害がないとされたり、違法性が阻却されることになります。
また、本人から同意を得る際、プライバシーポリシーの掲載で足りるのか、別個に同意まで必要か等、問題があります。当該情報のプライバシーとしての要保護性とプライバシー侵害の程度、侵害により事業者に生じるリスクなどを考慮し、同意を誰から取得すべきか、通知や同意取得の方法をどうするべきかなど個別に検討する必要があります。
さらに、個人情報保護法で保護される情報の範囲が拡大されるような改正があった場合に備え、あらかじめ個人情報保護法における個人情報の取得と同様の取り扱いをしておくことも検討しましょう。これにより、改正前に取得していた情報を利用し続けることができる可能性が高まります。
詳しくは、別記事の「プライバシーと個人情報保護法【損害賠償の事例も紹介】」をご参照ください。
まとめ
このように、個人情報保護法に対応するのは当然として、より適切な方法で本人の同意を得ることで、プライバシー侵害のリスクを低減でき、また、将来の情報の利活用に資する可能性があります。
特に重要な点については、
- 取り扱いを説明する動画やイラスト、チェックボックス方式を採用する
など工夫し、利用者が理解しやすい説明をすることで、適切な本人同意を取得できるよう検討しましょう。
【関連記事】
自動車プローブデータと個人情報【活用する際の注意点を解説!】
「個人情報」と「プライバシー情報」はどんな関係にあるの?
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。
