プライバシーマークの観点から、個人情報の第三者への委託に関する内容が審査上・運用上で非常に重要な要素となっています。
そもそも委託とは「一定の行為などを他人に依頼すること」を指す言葉です。この記事では、個人情報の委託についての具体例と、個人情報保護法のガイドラインにおける委託の内容について解説します。
また、Pマークにおける委託先管理の流れについてこちらの記事で詳しく解説しております。あわせてお読みください。
個人情報の定義についておさらい
まず個人情報の定義についておさらいしましょう。個人情報の定義は個人情報保護法第二条に記載されています。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
個人情報の保護に関する法律
二 個人識別符号が含まれるもの
この定義にある「個人識別符号」とは、顔や指紋など身体の一部を電子計算機で処理するために符号化したものや、マイナンバーカードや免許証番号など、サービスの利用者や書類において対象者ごとに割り振られた符号のことを指します。
個人情報の委託が重要視される理由
個人情報を適切に取り扱うことは、事業者にとっての使命とも言えます。そのような個人情報を社外に委託する場合、情報漏洩等が起きないように管理されているかどうかは、最も重要視すべきです。
たとえ自社がプライバシーマークを持っていても、個人情報の委託先で漏洩が発生してしまうと意味がないからです。 そのため、個人情報を委託する場合には、委託先がどのようなセキュリティ対策を行っているか、契約書等でどのように担保を取っているかを確認した方がよいでしょう。
個人情報の委託にあたる具体例
それでは、どういったケースが個人情報の取り扱いの委託にあたるのでしょうか。具体的には下記のようなものが考えられます。
従業員管理や総務系(税理士や社労士への計算や手続きの委託)
税理士の方に給与計算等をお願いする場合や、社労士の方に社会保険手続きを依頼している場合は「取扱いの過程」を依頼しているわけですから委託と考えられます。
情報の保管(レンタルサーバー業者など)
レンタルサーバーやクラウドに情報を保管する場合ですが、「保管という取扱いの過程」を外部に依頼していることになるので同様に委託として考えられてきます。
個人情報保護法のガイドライン中での委託に関する内容とは
ここでは少し専門的になりますが、個人情報保護法のガイドライン中での委託に関する内容をご紹介します。
個人データの第三者への提供(第27条~第30条関係)
以下、個人情報保護法の第27条から第30条に関する内容をふまえて解説しましょう。
まず、第三者提供の制限の原則(個人情報保護法第27条第1項関係)から紹介します。
第27条 第1項
個人情報の保護に関する法律より
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
(7)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
第27条における第三者提供とは具体的には以下のような事例が該当します。
- 事例1)親子兄弟会社、グループ会社間での個人データの交換
- 事例2)フランチャイズ組織の本部と加盟店間での個人データの交換
- 事例3)同業者間での特定の個人データの交換
これらは個人情報の第三者提供に該当します。しかし、同一事業者内の他部門への個人データの提供は第三者提供には該当しませんので注意してください。
オプトアウトによる第三者提供(第27条第2項~第4項関係)
この項目については、個人情報保護法第27条にて定められています。
第27条 第2項
個人情報の保護に関する法律より
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
(1)第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
(2)第三者への提供を利用目的とすること。
(3)第三者に提供される個人データの項目
(4)第三者に提供される個人データの取得の方法
(5)第三者への提供の方法
(6)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(7)本人の求めを受け付ける方法
(8)その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
オプトアウトによる第三者提供とは、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、法第27条第1項の規定にかかわらず、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる、というルールのことです。第27条ではそのルールが適用される事例について定められています。
個人情報の保護に関する法律についてのガイドラインでは、この事例について、以下のように詳細な具体例が示されています。
- 第三者への提供を利用目的とすること
- 事例1)住宅地図帳、住宅地図データベース及び住宅地図関連商品(配信サービスを含む)を制作し、販売することで、個人データを第三者に提供すること
- 事例2)年齢別、資産家、健康食品購入者、同窓会、弁護士、不動産投資者及びマンションオーナーの名簿を制作し、販売することで、個人データを第三者に提供すること
- 第三者に提供される個人データの項目
- 事例1)氏名、住所、電話番号、年齢
- 事例2)氏名、商品購入履歴
- 第三者に提供される個人データの取得の方法
- 事例1)新聞・雑誌・書籍・ウェブサイトの閲覧による取得
- 事例2)官公庁による公開情報からの取得
- 第三者への提供の方法
- 事例1)書籍(電子書籍を含む。)として出版
- 事例2)インターネットに掲載
- 事例3)プリントアウトして交付
- 事例4)各種通信手段による配信
- 事例5)その他外部記録媒体の形式での交付
- 本人の求めを受け付ける方法
- 事例1)郵送
- 事例2)メール送信
- 事例3)ホームページ上の指定フォームへの入力
- 事例4)事業所の窓口での受付
- 事例5)電話
第三者に該当しない場合(第27条第5項・第6項関係)
この項目については、個人情報保護法第27条第5項・第6項にて定められています。
個人情報保護法第27条 第5項
個人情報の保護に関する法律より
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1)個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
この第三者に該当しない場合と見なされる事例は以下です。
- 委託(第27条第5項第1号関係)
- 事例1)データの打ち込み等、情報処理を委託するために個人データを提供する場合
- 事例2)百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合
- 事業の承継(第27条第5項第2号関係)
- 事例1)合併、分社化により、新会社に個人データを提供する場合
- 事例2)事業譲渡により、譲渡先企業に個人データを提供する場合
- 共同利用(第27条第5項第3号関係)
- 事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的(法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
- 事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
- 事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合
外国にある第三者への提供の制限(法第28条関係)
この項目については、第28条にて定められています。
第28条 第1項
個人情報の保護に関する法律より
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
外国にある第三者への提供制限については、別途定められている「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」を参照するように指示されています。
第三者提供を受ける際の確認等(第30条関係)
この項目については、第30条にて定められています。
第30条 第1項・第2項
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(2)当該第三者による当該個人データの取得の経緯前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
個人情報の保護に関する法律より
第三者提供を受ける際の確認等についても、別途定められている「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」を参照するように指示されています。
他にも様々な例がありますが、基本的には個人情報を取扱う中で「取扱いの過程」が外部になる場合は委託に該当する可能性が非常に高いので、プライバシーマーク上の委託先の評価や秘密保持契約等が求められてくると考えていただければと思います。
まとめ
個人情報の委託について、具体例やガイドラインの内容もふまえて解説しました。個人情報は企業で取り扱われる情報の中でも、特に慎重な取り扱いが求められるものです。
第三者への委託ともなると、自社だけでなく、委託先企業においても情報管理の品質の高さが問われます。個人情報の委託先の選定には、その委託先がふさわしい企業であるかどうか、さまざまな観点からの検討が重要です。
また、Pマーク委託先管理の流れ・方法についてはこちらの記事をお読みください。