個人情報の第三者提供、子会社は「第三者」に当たる? 本人の同意が必要なパターンを理解しよう
1ヶ月のアクセスランキング
IT関連法務・デジタル関連法の実績が豊富な坂生弁護士に、わかりやすい実例、特に違法になってしまうケースを挙げて解説していただく連載、「2022年度デジタル関連法『コレやっちゃうと違法』シリーズ」(毎月第1週月曜日更新)。第9回は、個人情報保護法の「第三者提供」について解説いただきます。
個人情報の取り扱いは、世界的にも厳格化が進んでいます。とはいえ、第三者提供してはいけないと、やみくもに集めた個人情報や労力がムダになっていることはありませんか?
初めに
個人情報保護法(以下「法」)第27条第1項では「個人情報取扱事業者は、(中略)あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と定められています。つまり、個人データを「第三者提供」する場合は、原則として、あらかじめ本人の同意を得る必要があります。
もっとも、実際の場面では「第三者提供」に当たるか否か迷う場面も少なくありません。それでは、以下のケースのうち、本人の同意が必要となる「第三者提供」はどれでしょうか? 併せて、それらの注意点についても解説していきます。
- 事業譲渡先への個人データの提供
- 業務委託先への個人データの提供
- 親子会社間での個人データの交換
- 他の事業部への個人データを提供
事業譲渡先への個人データの提供
まず、法第27条第5項第2号は、「事業の継承」に伴う個人データの提供の場合は、個人データの提供先は「第三者」に該当しないものと規定されています。
よって、「1.事業譲渡先への個人データの提供」の場合は、本人の同意は必要ありません。
業務委託先への個人データの提供の場合は業務委託先の監督が義務
次に、法第27条第5項第1号は、「委託」に伴う個人データの提供も「第三者提供」には当たらないと規定しています。
よって、「2.業務委託先への個人データの提供」の場合も、本人の同意は必要ありません。
ただし、法第25条は、個人データの取り扱いをする場合の委託先の監督を義務付けています。よって、「委託」の場合は、自らが講ずべき安全管理措置と同等の措置が講じられるように、委託先の監督を行わなければなりません。
個人データの委託先の監督において必要な3つの措置とは?
※掲載されている情報は記事公開時点のものです。最新の情報と異なる場合があります。