データを活用する上で、必ず直面する課題の1つは個人データの取り扱いです。特に、自社の事業を営む中で外部のクラウドサービスを利用する際に、第三者にあたる外部企業に個人データを送信する必要が出てきます。このような「第三者提供」に該当する場合、それに伴う複雑な規則が個人情報保護法によって定められています。
例えば、クラウドサービスとして提供されているSaaS(Software as a Service)を介して、我々は日頃様々なデータを送受信しています。その際に、自身の個人情報を送信する場合や業務の一環としてクライアントや自社社員の個人データをやり取りする場合もあります。そもそも個人データを本人に無断で送信してよいのか、そして個人データを受信する側はそのデータをどのように取り扱うのか、どのようなリスクが考えられるのかなどについて正しい知識を持つべきです。
以下ではまず個人情報の「提供」と「第三者提供」とは厳密にどういう行為を指しているのか、その法的な定義を整理したいと思います。その後、「委託」および同様に「第三者提供」に該当しないような個人データの提供の形式を紹介します。それぞれのケースに関連する法規制のうち最も重要と思われるものをピックアップして解説していきたいと思います。これらはAI・データサイエンスの分野に不可欠な知識としてG検定などにもよく出題されていますので、G検定を受験または再受験する予定の方のためにも役に立つ記事にしていきたいと思います。
参考文献として本記事では、個⼈情報保護委員会による「個⼈情報の保護に関する法律についてのガイドライン(通則編)」を「ガイドライン」と略記して記載します。
また、この記事で解説した内容をクラウドサービスの利用などに応用したこちらの記事 クラウドサービス事業者への個人データの提供(G検定受験者必見) が以下となるので、この記事に続いてお読みください。
個人データを外部に送るたびに許可が必要?
個人データを外部の事業者に提供する場合には、どのような措置を取らなければいけないのでしょうか。
シンプルに考えると、個人データを保有する企業がその個人データをクラウドサービス事業者に送信する際に、クラウドサービス事業者は個人データが属する「本人」から見て「第三者」です。そして、個人データを第三者に提供する場合、個人情報取扱事業者は原則としてあらかじめ本人の同意を得なければなりません (個人情報保護法の第 27 条第1項)。
しかし、日常的に大量な個人データがやり取りされており、そのたびに本人の同意を得なければいけないのであれば、仕事や技術開発に遅延が生じることが想像できます。
そこで、実際には、クラウドサービス事業者の性質、提供するサービスの種類、利用者との契約の内容によっては、個人データを送信する場合に、本人の同意を不要とする例外的なケースが存在します。多くの場合、それは個人データの処理の「委託」に該当するためです。「委託」は個人データの「提供」の行為の一種です。さらにいうと、個人データの外部への送信が「提供」にさえ該当しない場合があります。
個人情報の「提供」とは
個人情報を外部の事業者に渡す際に、個人情報保護法の用語を使うと、外部の事業者と本人の関係、あるいは個人データの保有企業との関係に基づき、「第三者提供」や「委託」などのような形態に分類されます。
「第三者提供」と「委託」はいずれも「提供」に該当します。
例外はあるものの、他の事業者へ個人情報の「提供」を行う場合は(あくまでも原則として)あらかじめ本人からの同意を得なければいけません。ただし、個人情報を渡しているからといって、必ずしも個人情報保護法上の「提供」に該当するとは限らないのです。
「ガイドライン」の2-17項によると、「提供」の定義は以下となっています。
個人データ等を、自己以外の者が利用可能な状態に置くこと
例えば、個人情報を含む書類を封筒に入れて送付した場合、配達業者にその個人データを提供したことになるとは限りません。上記の「提供」定義からでもわかるように、このケースが個人情報の「提供」に該当しない条件として以下があります。
- 配達業者が預かった郵便物内の個人情報に触れない
- 他の事業者がその個人情報を利用可能できないようにしている
この場合「提供」に該当しないので、もちろん「第三者提供」にも該当しません。したがって、個人データを渡す前にあらかじめ本人の同意を得なくてもいい場合があります。
ここで、「提供」は「第三者提供」よりも広い概念です。後ほど詳しく紹介しますが、「提供」には該当するけれども「第三者提供」には該当しない「委託」をはじめとする他の個人データの受け渡しのタイプがあります。
個人情報の第三者提供
個人データの「提供」のうち、「第三者提供」に該当する場合は様々な制限が課せられます(参考:ガイドライン 3-6)。
はじめに、個人データを第三者提供に該当する場合は原則として、あらかじめ本人からの同意を得なければいけません。また、その同意を取得する際に、事業の性質や個人データの取扱い状況に応じて合理的かつ適切な内容を明確に示さなければいけません。
そもそも最初に個人情報を取得する際に、利用目的を明確にしなければいけないのですが、あらかじめ個人情報を第三者に提供することを想定している場合には利用目的において、その旨を特定しなければいけません。
また、「第三者提供に係る記録の作成等」及び、受領する場合は「第三者提供を受ける際の確認等」も要請されて、これらの記録を一定期間保存する必要があります。
前者の「第三者提供に係る記録」に関しては、「本人同意、第三者氏名等、本人氏名等」のデータ項目を記録し保存しなければなりません。ただし、人の生命、身体又は財産の保護のために必要がある場合など、一部の例外的なケースにおいてはこの義務が適用されません。
後者の「第三者提供を受ける際の確認等」に関しては、「提供者の氏名(法人名)及び住所等」及び「提供者による個人データの取得の経緯」と共に、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」や「当該個人データの項目」等を記録する必要があります。
さらにいうと、本人の同意によって個人データを取得したのか、オプトアウトによって取得したのかによって上記の記録すべき項目が少し異なります。
第三者提供に該当しない個人情報の提供
第三者に該当しないのは以下の場合です。
- 委託:個人データを取扱う業務を外部に委託する場合、個人データが業務の担当する者に渡されるケース
- 事業承継:会社の合併や分社化などによる組織変更、あるいは事業の譲渡などに伴い、元の会社が保有する個人データが別の企業に渡されるケース
- 共同利用:特定の者との間で当該個人データを共同して利用する場合、個人データが共同利用者に渡されるケース
これらは実質的に「第三者に提供」しているのではないかと思われますが、個人情報保護法に基づき、これらの場合は「第三者に該当しない」ものとされます。それは、本人との関係において、提供元と提供先と一体のものとして取り扱うことに合理性があるためです(ガイドライン3-6-3)。そのため、個人情報保護法によって第三者提供の場合に課せられた制限、提供時の確認、記録の義務などの一部が免除されます。
ただし、「提供先での個人データが提供元の利用目的の範囲内での利用に限定される」という点で、第三者提供と同じ制限が課せられます。例えば、業務を委託されたものが指定された業務とは別の目的で勝手にデータを利用してはなりません(異なる種類の分析をしてみる、別のデータと突き合わせるなど)。
個人情報の取り扱いにおいて、「提供」「第三者提供」「委託」の違いを正しく理解することは、法的リスクを回避し、適切なデータ活用を行う上で不可欠です。特にクラウドサービスを利用する際は、その利用形態が委託に該当するのか第三者提供に該当するのかを慎重に判断し、適切な手続きを取ることが重要です。
