〜ケーススタディで考える利用上の留意点・個人データ取扱いにおける「委託」の範囲
『ビジネス法務』2020年8月号の「特集」は「改正個人情報保護法・近時不正事例からみる企業のデータ・コンプライアンスと利用法」です。いわゆる3年ごとの見直しに基づく改正個人情報保護法が国会に提出され、審議が進められています。「不適正利用の禁止義務」、「保有個人データの公表事項の充実」、「個人関連情報の提供規制」など、企業活動に大きな影響のある義務規定が新設・拡充されます。一方で、仮名加工情報などの個人データ利活用を推進する改正も注目されています。本特集では、本改正、近時不正事例、最新のビジネスモデルを題材に、これからの法務部門が担うべき「攻め」と「守り」のデータ法務を深掘りしています。その中でも、個人データ取扱いにおける「委託」の範囲についての解説がなされています。
-
Ⅰ 個人データの取扱いの委託に関する基礎知識
Ⅱ 委託の範囲の限界
Ⅲ 非個人情報を提供する場合と個人情報を提供する場合の委託元への規制のあり方
<PLAZA総合法律事務所の弁護士解説>
本記事で取り上げられている個人情報保護法では、個人情報取扱事業者は、一定の場合を除いて、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない(個人情報保護法(以下、「法」といいます。)23条1項)と定めています。
その一方で、同法は、個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合は、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする(法23条5項1号)と定めています。
このように、法が、委託の場合、個人データの提供を受ける者が第三者に該当しないとするのは、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるものと考えているからです(個人情報保護法ガイドライン(通則編)、平成28年11月(平成31年1月一部改正)個人情報保護委員会、P51参照)。
しかし、どのような範囲まで委託された業務に該当するかについて解釈上不明な点が多く、判断が難しい箇所となっています。企業活動の中で、個人データの処理や分析を第三者に依頼している場合、その行為が個人データの取扱いの委託に当たり同意が不要となるのかについて十分な検討が必要です。
本記事には、個人情報保護委員会が作成した「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日(令和元年11月12日更新))に記載された事例を参照しつつ、さらに踏み込んだ解説がなされておりますので、是非ご覧ください。
(弁護士 小西 瑛郁)