個人データの第三者提供には原則としてあらかじめ本人の同意を得る必要があります(個人情報保護法第23条第1項)。
例外はおなじみの4つ、
- 法令に基づく場合、
- 人の生命等の保護のために必要があって本人の同意を得ることが困難なとき、
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき、
- 国等が法令の定める事務を遂行することに協力する必要がある場合であって本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき、
です。
個人データの第三者提供はすごく重要です。絶対に出題されます。1題だけではなく3題くらい出題されます。
第三者とは
第三者提供とは、法人格をこえて個人データを移動させることです。
したがって、営業部が取得した個人データを経理部が業務に用いることは個人データの利用であって第三者提供ではありません。
しかし、グループ会社間の移動となりますと親会社・子会社の関係とはいえ法人格は別ですから第三者提供に該当します。
また、フランチャイズの場合、加盟団体は看板こそ同じものを使いますが、本部組織と加盟団体はそれぞれ別法人になっていますので個人データの交換は第三者提供になります。
「第三者」から除外されているもの
個人情報保護法第23条第5項は、「第三者」の例外を3つ認めています。法人格をこえた個人データの移動であっても第三者提供にはありません。
例外1 業務委託
例えば、DM発送業務を外注するために宛先の住所、氏名を提供することが考えられます。
例外2 合併等による事業の承継
合併、分社化、事業譲渡による事業の承継に伴う個人データの移動は第三者提供に該当しません。
実務的にも問題になりうるのは合併等の事前調査・交渉段階での個人データの移動です。個人情報保護委員会のガイドラインによりますとこの場合も第三者提供にはならないとされています。ただし、交渉が不調に終わった場合の措置や、相手会社における安全管理措置等の必要な契約を締結しておくべきとしています。
例外3 共同利用
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合も第三者提供ではありません。
ただし条件があります。
個人データの共同利用をするためには
- 共同利用する旨
- 共同利用される個人データの項目
- 共同利用する者の範囲
- 利用目的
- データの管理責任者の氏名又は名称
を本人に通知するか、本人が容易に知りうる状態におく必要があります。
また、4と5について変更するときはあらかじめ本人に通知し又は容易に知りうる状態におきなさい、と書いてあります(第23条第6項)。
ということは、逆に言えば2の「共同利用される個人データの項目」と3の「共同利用する者の範囲」は変更できない、ということになります。
この点が第41回試験で出題されていますのでご注意ください。
なお、共同利用のグループに属している会社に委託をする場合、委託なのか共同利用なのか、という問題があります。この場合は業務委託となります。