このエントリーをはてなブックマークに追加 LINEで送る

自社で取得した個人情報を他の事業者へ渡すことを第三者提供といいます。ただ、企業は取得した個人情報を自由に第三者提供していいわけではありません。
第三者提供を行うために事業者は何をしなければならないかを紹介します。

第三者提供を行うにあたっての原則

企業が個人情報を第三者へ提供したい場合は、本人に第三者提供を行う旨を伝え同意を得る必要があります。
プライバシーマーク(以下、Pマーク)を取得してる場合は、本人に伝えるべき項目もJISQ15001規格において定められています。
個人情報保護法上で求められていること、Pマーク上で求められていることについて見ていきます。

個人情報保護法で求められていること

個人情報保護法では、あらかじめ本人の同意なく個人情報を第三者提供してはならないとされています。
同意の取得にあたり、本人に伝えるべきとされている項目については、ガイドラインに下記のように記載されています。

”同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。”
(個人情報保護法ガイドライン(通則編)より)

「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容」とありますが、具体的にどういった情報を提示しなければならないかは示されていません。
本人が同意に係る判断を行うためには、利用目的に第三者提供を行う旨、どのような事業者に提供するのか、提供先の事業者でどういった目的で使用されるのかは本人に提示するべきでしょう。

本人の同意を得ずに提供していい例外事項として、人命にかかわる場合や、法令に基づき提供が必要とされている場合があります。
その他、個人情報保護委員会へ届け出を出したうえで必要事項を公表すれば、本人の同意なく個人情報の提供を可能とする、オプトアウトによる第三者提供を行う例もあります。
参照:オプトアウトによる第三者提供の届出 https://www.ppc.go.jp/personalinfo/legal/optout/

Pマークで求められていること

個人情報を第三者に提供する場合には、本人に対し、「JISQ15001 A.3.4.2.5 のa) ~d) の事項又はそれと同等以上の内容の事項、及び取得方法」を通知して、同意を得ている必要があります。
JISQ15001 A.3.4.2.5 のa) ~d)に何が書かれているか詳細を見ていきます。
a) ~c)で挙げられているのは、社名、個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先、利用目的です。第三者提供に関わる部分はd)の項目です。
d)の項目では、下記が挙げられています。

  1. 第三者に提供する目的
    事例)提携事業者へ個人情報を提供し、サービス・商品の提供を行うため
  2. 提供する個人情報の項目
    事例)氏名、住所、電話番号、年齢
  3. 提供の手段又は方法
    事例)プリントアウトして交付、各種通信手段による配信、その他外部記録媒体の形式での交付
  4. 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
    事例)○○グループ会社、業務提携先、株式会社○○
  5. 個人情報の取扱いに関する契約がある場合はその旨
    事例)提供先が適切に個人情報保護を行なうよう秘密保持の契約の契約を締結している

つまり、個人情報保護法とは違い、本人へ提示すべき項目が決まっており、「なぜ第三者へ提供をするのか、どの情報が誰に提供されるのか、どういった手段で提供されるのか」を本人へ伝え、それに対しての同意を得る必要があるということです。

まとめ

個人情報の第三者提供を絶対にしてはいけない、ということはありません。
本人からきちんと同意を得た上であれば、問題ありません。
個人情報保護法との違いを理解した上で、Pマーク事業者は、きちんと同意を得るようにしましょう。また、その手順もマニュアル化し、従業員全員が周知するようにしましょう。

このエントリーをはてなブックマークに追加 LINEで送る

Pマーク取得事業者が第三者提供を行う際に伝えるべきこと

自社で取得した個人情報を他の事業者へ渡すことを第三者提供といいます。ただ、企業は取得した個人情報を自由に第三者提供していいわけではありません。
第三者提供を行うために事業者は何をしなければならないかを紹介します。

第三者提供を行うにあたっての原則

企業が個人情報を第三者へ提供したい場合は、本人に第三者提供を行う旨を伝え同意を得る必要があります。
プライバシーマーク(以下、Pマーク)を取得してる場合は、本人に伝えるべき項目もJISQ15001規格において定められています。
個人情報保護法上で求められていること、Pマーク上で求められていることについて見ていきます。

個人情報保護法で求められていること

個人情報保護法では、あらかじめ本人の同意なく個人情報を第三者提供してはならないとされています。
同意の取得にあたり、本人に伝えるべきとされている項目については、ガイドラインに下記のように記載されています。

”同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。”
(個人情報保護法ガイドライン(通則編)より)

「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容」とありますが、具体的にどういった情報を提示しなければならないかは示されていません。
本人が同意に係る判断を行うためには、利用目的に第三者提供を行う旨、どのような事業者に提供するのか、提供先の事業者でどういった目的で使用されるのかは本人に提示するべきでしょう。

本人の同意を得ずに提供していい例外事項として、人命にかかわる場合や、法令に基づき提供が必要とされている場合があります。
その他、個人情報保護委員会へ届け出を出したうえで必要事項を公表すれば、本人の同意なく個人情報の提供を可能とする、オプトアウトによる第三者提供を行う例もあります。
参照:オプトアウトによる第三者提供の届出 https://www.ppc.go.jp/personalinfo/legal/optout/

Pマークで求められていること

個人情報を第三者に提供する場合には、本人に対し、「JISQ15001 A.3.4.2.5 のa) ~d) の事項又はそれと同等以上の内容の事項、及び取得方法」を通知して、同意を得ている必要があります。
JISQ15001 A.3.4.2.5 のa) ~d)に何が書かれているか詳細を見ていきます。
a) ~c)で挙げられているのは、社名、個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先、利用目的です。第三者提供に関わる部分はd)の項目です。
d)の項目では、下記が挙げられています。

  1. 第三者に提供する目的
    事例)提携事業者へ個人情報を提供し、サービス・商品の提供を行うため
  2. 提供する個人情報の項目
    事例)氏名、住所、電話番号、年齢
  3. 提供の手段又は方法
    事例)プリントアウトして交付、各種通信手段による配信、その他外部記録媒体の形式での交付
  4. 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
    事例)○○グループ会社、業務提携先、株式会社○○
  5. 個人情報の取扱いに関する契約がある場合はその旨
    事例)提供先が適切に個人情報保護を行なうよう秘密保持の契約の契約を締結している

つまり、個人情報保護法とは違い、本人へ提示すべき項目が決まっており、「なぜ第三者へ提供をするのか、どの情報が誰に提供されるのか、どういった手段で提供されるのか」を本人へ伝え、それに対しての同意を得る必要があるということです。

まとめ

個人情報の第三者提供を絶対にしてはいけない、ということはありません。
本人からきちんと同意を得た上であれば、問題ありません。
個人情報保護法との違いを理解した上で、Pマーク事業者は、きちんと同意を得るようにしましょう。また、その手順もマニュアル化し、従業員全員が周知するようにしましょう。

Author: 宮崎 俊一
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする