個人情報の取扱を第三者に委託する場合のルールとは
現代社会において、個人情報は不可欠な資源であり、企業にとっては活動や運営の重要な基盤の一つにもなっています。
しかし同時に、情報の漏えいなどの問題がしばしば起きており、メディアでも報道されるような犯罪行為に発展することも珍しくありません。
実際、個人情報の取得・利用・保管・管理・提供などについては企業側も個人の側も意識が高まっていますが、いまだに正しい知識や必要な情報に辿り着けていない方もいらっしゃるでしょう。
そこで今回は、個人情報の取扱いのうち「個人情報の第三者委託におけるルール」を中心に解説します。
「個人情報の第三者委託」とは、事業者が自らの業務を外部に委託する際に必要な範囲で個人情報を外部事業者に預ける(委託する)ことです。
委託元企業は、個人情報元の本人から同意を得る必要はありませんが、委託先に対する厳格な管理責任が課されます。
<この記事を読むとわかること>
- 個人情報の概要と種類
- 個人情報保護法の内容
- 個人情報の「第三者提供」と
「第三者委託」の違い - 第三者委託の具体例
- 第三者委託に関するルールと
注意ポイント など
特に、個人情報を収集して、営業・マーケティング・顧客獲得・契約などの活動に利用している企業では、経営幹部や法務担当者などは法的な知識や最新情報をインプットし、理解しておかなければいけません。
そして、全社的に従業員への正しい知識の啓蒙・教育などを行なっていく必要があります。
ぜひ本記事を最後まで読んでいただき、個人情報の取扱いには厳格なルールが存在していることや、個人情報保護法の内容などについて正しい知識を身につけていただきたいと思います。
目次
個人情報についての基礎知識
個人情報とは?
個人情報は、法的には次のように定義されています。
「生存する個人に関する情報であって、この情報に含まれる氏名・生年月日その他の記述等により、特定の個人を識別することができるもの。」(個人情報保護法第2条)
個人情報で典型的な例は、氏名、住所、電話番号、メールアドレスなどですが、単独では識別できなくても、他の情報と組み合わせることで個人を特定できるものも含まれます。
たとえば、生年月日や電話番号などは単体では特定の個人を識別できないような情報ですが、それらが氏名などと組み合わさると、特定の個人を識別できる情報になるため、個人情報に該当します。
メールアドレスは、ユーザー名やドメイン名から特定の個人を識別することができる場合では、それ自体が単体で個人情報になります。
さらに、顔写真や指紋、声紋などの生体情報、クレジットカード番号や顧客IDなども、他の情報と組み合わせることで個人を特定できる場合には個人情報に該当します。
現代では、インターネットやクラウドサービスなどの普及により、個人情報がデジタルに収集・保存・利用される機会が増えています。
そのため、適切な管理と保護が求められているのです。
個人情報保護法の概要を整理
☑︎ 個人情報の適正な取り扱いに関して、その有用性に配慮しながら、個人の権利や利益を保護することを目的とした法律が「個人情報保護法」です。
正式名称を「個人情報の保護に関する法律」といい、2003(平成15)年に制定、2005(平成17)年に全面施行されています。
☑︎ 個人情報保護法は、個人情報の取り扱いが1件でもある事業者(企業)や組織(国の行政機関や独立行政法人、地方公共団体等)のすべてに適用されます。
そのため、個人情報保護法は営利・非営利にかかわらず、すべての企業、組織が守らなければならない共通のルール、ということになります。
☑︎ 個人情報保護法は、デジタル化の進展や社会情勢の変化などに対応するため、2015年から約3年ごとに法改正をして見直しが図られていることに留意しておく必要があります。
個人情報の種類をまとめて確認
法律で保護される個人情報は細かく分類されていますが、まずおさえておくべき重要なポイントは、1.個人に関する情報であること、そして2.特定の個人を識別できることの2点になります。
ここでは種類ごとに、主要なものについて解説します。
(1)基本的な個人情報
(2)個人識別符号
(3)要配慮個人情報
詳しい内容については、こちらの記事や資料を参考にしてください。
基本的な個人情報
(個人情報保護法第2条1項)
個人を直接識別できる情報の類型で、もっとも基本的、一般的なものです。
- 氏名
- 生年月日、住所、
電話番号、メールアドレス、
会社における職位または
所属に関する情報等(これらと本人の
氏名を組み合わせた情報も含む) - 本人であると判別できる映像情報
(防犯カメラの映像等) - 特定の個人を識別できる音声録音情報
- メールアドレス(会社名と個人名が
組み合わさっているもの等) - その他の特定の個人を識別できる情報
(官報、電話帳、職員録、
有価証券報告書等の法定開示書類)、
新聞・ホームページ・SNSなどで
公表されているもの など
個人識別符号
(個人情報保護法第2条2項)
文字、番号、記号その他の符号など単体の情報で特定の個人を識別できるものです。
<身体の一部の特徴をパソコンで使えるように
変換した文字、番号、記号、その他の符号で
個人を識別できるもの>
- 顔認証データ
- 眼球の虹彩
- 静脈認証
- 指紋、掌紋
- 声紋
- 歩行態様
- DNA配列 など
<個人に発行されるカードなどに記載された
番号等で特定の個人を識別できるもの>
- 基礎年金番号
- 運転免許証番号
- マイナンバー
- 住民票コード
- パスポート番号
- 健康保険の被保険者証番号 など
要配慮個人情報
(個人情報保護法第2条3項)
他人に公開されることで、本人が不当な差別や偏見などの不利益を被る可能性のあるもので、取扱いに配慮・注意するべき情報です。
これらの個人情報は差別や不利益を招くおそれがあるため、取り扱いに際しては原則として本人の同意が必要になります。
- 人種
- 社会的身分
- 信条
- 病歴
- 犯罪歴
- 犯罪により被害を被った事実
- 身体障害・知的障害・精神障害などの
障害があること - 医師等により行なわれた健康診断、
その他の検査の結果 - 保健指導、診療・調剤情報
- 本人を被疑者、または被告人として
逮捕等の刑事事件に関する
手続きが
行なわれたこと - 非行・保護処分等の少年の保護事件に
関する手続きが行なわれたこと
など
※ただし、次のような情報は一般的な個人情報のため、要配慮個人情報にはなりません。
- 単純な国籍、外国人という情報、肌の色
- 学歴
- 宗教書購入履歴、特定政党の機関誌購入
履歴 - 反社会的勢力に該当する事実 など
個人情報の第三者提供について解説
企業が個人情報の取得や
提供をする理由
企業は、その活動においてさまざまな理由から個人情報の取得・利用・提供などを行なっています。
- サービス提供のため:商品の配送、
問い合わせ対応、会員管理などに活用 - マーケティング:顧客の購買履歴や
嗜好などを分析し、新商品開発や
ターゲット広告に活用 - 契約履行:金融機関による口座管理、
保険会社による契約者情報の
管理などに活用 - 法令遵守:税務処理や本人確認(KYC)
などに活用
企業活動において、個人情報は不可欠な資源であり、適切な利用によって顧客満足度や事業効率を高めることができます。
しかし、過剰な収集や不適切な提供は企業の社会的な信頼やブランド価値を失う原因となり、業績の悪化を招く可能性もあるため、バランスが重要です。
個人情報の第三者提供とは?
個人情報取扱事業者が、第三者(他社など)に個人情報を提供することを「個人情報の第三者提供」といいます。
提供された企業などは、その個人情報を独自に利用しますが、前提として個人情報元の本人の同意を得ることが必要です。
第三者提供には、次のような行為が該当します。
- 通販会社が顧客リストを広告代理店に
販売 - 不動産会社が購入希望者の情報を
提携金融機関に提供 - 大学が卒業生の名簿を同窓会組織へ渡す
- 保険会社が契約者情報をグループ外の
再保険会社に提供 - 病院が患者情報を研究機関に提供
(倫理審査・同意あり) - 求人サイトが登録者情報を企業に提供
- 金融機関が顧客情報を信用情報機関に
提供 - 携帯キャリアが利用者情報を
提携ポイントサービス会社に提供 - 市役所が住民情報を国の統計機関に提供
- 旅行会社が参加者情報を
提携保険会社に提供 など
なお、親会社と子会社の間やフランチャイズの本部と加盟店の間などグループ内で個人情報を授受する場合も、法律上では第三者への提供になるので注意する必要があります。
第三者提供におけるルール
次に、個人情報を第三者に提供する場合のルールについて見ていきます。
あらかじめ本人から同意を得る
- 企業が取得した個人情報を第三者に提供する場合は、あらかじめ本人から同意を得ておかなければいけません。
- 書面、メール、Web上のチェックボックス、音声入力など同意の取得方法は種々ありますが、本人が内容を理解し、自由意思で同意したことが確認できる必要があります。
また、その際の「明示事項」があるので確認しておきましょう。
<同意取得時の明示事項>
- 提供先の名称、住所、
代表者名(法人の場合)。 - 提供する個人情報の項目。
- 提供の目的。
- 提供方法(例:電子データ、紙媒体)。
- 本人には提供停止を求める
権利があること。 など
なお、本人の同意を得なくても、個人データを第三者に提供することができる場合があります。
詳しい内容は、こちらの記事を参考にしてください。
外国にある第三者に
提供する場合
- この場合でも、あらかじめ本人から同意を得る必要があります。
※ただし、外国にある第三者が、個人情報保護委員会の規則で定める基準に適合する体制を整備している場合となります。 - 本人の同意を得る際は、参考となるべき情報を提供する必要があります。
第三者に提供した後のルール
- 第三者に提供した場合、また第三者から提供を受けた場合は、一定事項を記録する必要があります。
公表事項・開示等請求について
- 保有する個人データに関して、個人情報取扱事業者は次の事項について、ホームページに公表するなどして、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)にしておかなければいけません。
- 当該事業者の氏名または名称、住所、
法人の代表者名。 - すべての保有個人データの利用目的。
- 請求に応じる手続き。
- 安全管理のために講じた措置
(公表等により支障をおよぼす
おそれがあるものを除く)。 - 苦情の申出先。 など
- 本人から情報開示請求された場合は、原則本人に開示しなければいけません。
- 本人からの請求があった場合、その保有個人データの内容に誤りがあれば、訂正・追加・削除をしなければいけません。
- 利用目的の範囲を超えて利用されている、または不適正な利用がされている、不正の手段で取得されているといった場合は利用停止または消去をする必要があります。
- 同意なく第三者に提供されている場合などでは、第三者提供を停止する必要があります。
- 利用する必要がなくなった場合、一定の漏えい等の事案が発生した場合、本人の権利もしくは正当な利益が害されるおそれがある場合などでは、本人の権利・利益の侵害を防止するために必要な限度で、利用停止、消去、第三者提供の停止をする必要があります。
個人情報の第三者委託について
深堀り解説
個人情報の第三者提供と似たものに「第三者委託」があります。
個人情報の第三者委託とは、事業者が自らの業務を外部に委託する際に、必要な範囲で個人情報を外部事業者に預けることです。
委託先は委託元の指示に従って情報を扱うため本人同意は不要ですが、委託元には厳格な管理責任が課されるなどの特徴があります(個人情報保護法第25条)。
第三者委託と第三者提供では異なる部分があるため解説します。
第三者委託の概要
定義
個人情報保護法における「第三者委託」とは、事業者が自らの業務を外部に依頼し、その遂行のために個人情報の取扱を委託することを指します。
委託とは、「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行なわせること」をいいます。
特徴
委託先は委託元の指示に従って情報を扱うため、情報の利用目的は委託元に帰属します。
つまり、委託先が独自に情報を利用することは許されません。
法的扱い
第三者提供とは異なり、本人の同意は不要です。
ただし、委託元は委託先の管理体制を監督する義務を負います。
第三者提供と第三者委託の
違いとは?
個人情報を外部に渡すという点では、第三者提供と第三者委託は共通しています。
しかし、目的と管理責任の所在が異なることに注意が必要です。
第三者提供
- 利用目的:個人情報を受け取った第三者(提供先)が、自身の目的のために独自に個人情報を利用。
- 本人同意:原則、情報提供の前に本人の同意が必要。
- 責任主体:提供後、提供元は提供した個人情報の利用について直接的な責任を負わない。提供先が利用責任を追う。
第三者委託
- 利用目的:委託元事業者の業務を遂行するため、個人情報の取り扱いを外部事業者に依頼。
そのため、委託先は委託元の目的に従う(委託元の業務遂行に限定される)。 - 本人同意:原則、本人の同意は不要(あくまで委託先は、委託元の目的を遂行するために情報を利用するため)。
- 責任主体:委託元事業者には、委託先の選定や監督義務が課せられる。
また、委託先で情報漏えいなどの問題が発生した場合は、委託元も管理責任を負う可能性がある。
これらの違いを理解すると、個人情報保護法の実務において「本人同意が必要か」、「委託契約が必要か」といったことが整理しやすくなります。
個人情報の第三者委託の具体例
個人情報の第三者委託の例としては、次のような行為があげられます。
通販会社が配送業務を
宅配業者へ委託
顧客住所を渡すが、宅配業者は配送目的のみで利用。
企業が顧客サポートを
コールセンターへ委託
顧客情報を渡すが、問い合わせ対応のためのみに利用。
企業が給与計算を
アウトソーシング会社へ委託
従業員情報を渡すが、給与計算業務のためのみに利用。
銀行がカード発行業務を
印刷会社へ委託
顧客情報を渡すが、カード作成のためのみに利用。
ECサイトが決済処理を
外部決済代行会社へ委託
顧客情報を渡すが、決済処理のためのみに利用。
病院が診療データの電子化
をシステム会社へ委託
システム会社は電子化業務のためのみに利用。
学校が卒業アルバム作成を
印刷会社へ委託
生徒の写真や名前を渡すが、アルバム制作のためのみに利用。
企業が健康診断の予約管理を
外部医療機関へ委託
従業員情報を渡すが、健診業務のためのみに利用。
保険会社が契約書発送を
印刷・発送代行会社へ委託
契約者情報を渡すが、発送業務のためのみに利用。
区役所・市役所が
システム保守を
ITベンダーへ委託
ITベンダーは住民情報にアクセスできるが、保守業務のためのみに利用。
守るべき第三者委託での
ルールについて
個人情報の第三者委託においては、個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」で取り扱ううえでのルールが規定されています。
委託元が委託先へ行なう「監督」の程度については、
- 委託する個人データの内容。
- 個人データが漏えい等をした場合に
本人(個人情報主)が被る
権利・利益の侵害の大きさ。 - 委託する事業の規模および性質。
- 個人データの取扱状況(性質や量などの要素も含む)などに起因するリスク。
などに応じて、次の項目について必要かつ適切な措置を取ることが求められます。
契約の締結
委託先事業者との間で、個人情報の取り扱いに関する契約を締結し、利用目的や安全管理措置などを明確化し、実効性を持たせるように定める必要があります。
委託先の選定
情報セキュリティ体制やコンプライアンス状況を確認し、信頼できる事業者を適切に選ぶ必要があります。
委託先の事業者が、個人情報保護法第23条(安全管理措置)やガイドラインに照らして必要な水準の安全管理措置を講じているか、また、その安全管理措置がしっかりと実施されているかなどを確認します。
委託先の監督・監査
委託元は委託先が適切に情報を管理し、業務をしているかどうかを定期的に確認する義務があり、必要であれば改善を求めます。
再委託の制限
委託先が、さらに外部に再委託する場合、委託元の承認が必要です。
そのため、契約書には事前承認や契約上の制約を設定しておきます。
安全管理措置
委託先に対して、アクセス制御や暗号化などの技術的・組織的な安全管理措置を義務づける必要があります。
事故対応体制
情報の漏えいや不正利用が発生した場合に備え、迅速な報告・対応体制を整えておく必要があります。
第三者委託で注意するべき
ポイントまとめ
委託元の注意ポイント
☑︎ 第三者委託は業務効率化に有効ですが、委託元企業が責任を免れることはできません。
委託先の不備による情報漏えいであっても、委託元企業が社会的責任を問われるケースは多くあるため、委託先の選定と監督は極めて重要です。
☑︎ 利用目的の限定、禁止事項、再委託の可否、事故発生時の対応などを契約に盛り込み、契約内容を明確化しておくべきです。
☑︎ 外国事業者に委託する場合は、現地法制やセキュリティ水準を確認し、必要に応じて本人同意や追加措置が求められます。
委託先の注意ポイント
委託先企業としては、次のポイントに注意してください。
個人情報保護法や契約で定められた
取り扱いルールを厳格に守ること。
「セキュリティ対策の実施」
アクセス制御、暗号化、ログ管理など、
技術的・組織的な安全管理措置を
講じること。
「従業員教育の徹底」
個人情報の重要性や取り扱いルールを
従業員に周知し、
定期的に教育を行うこと。
「再委託の管理」
再委託を行なう場合は
委託元の承諾を得て、
再委託先にも同等の管理を
徹底させること。
「インシデント対応の迅速化」
漏えいや不正アクセスが発生した場合、
被害を最小限に抑えるために
速やかに委託元へ報告し、
被害拡大防止策を講じること。
個人情報の取扱いに疑問や不安がある場合は、まずは一度、早急に弁護士に相談されることをおすすめします。
弁護士法人みらい総合法律事務所は全国対応で、随時、無料相談を行なっています(事案によりますので、お問い合わせください)。
さらに、いつでも相談・依頼できる顧問弁護士についてのご相談もお受けしています。
-
労務関連書式集を無料ダウンロードできます
弁護士監修 全60種類 休業・労働時間・就業規則・懲戒・休職・採用・雇用
派遣・給与・交通費・保険・育児介護・解雇・退職・出向無料ダウンロードはこちら
無料進呈
(114ページ小冊子)
労働関連書式
無料ダウンロード
ご挨拶
出版物のご紹介
