電話でもお気軽にお問い合わせください。
コラム
2024年5月8日
個人データの取扱い1
~共同利用が認められるための要件~
Q1. 自社で保有する個人データを特定の事業者と共同利用することはできますか?
A1. はい。「特定の事業者」が「第三者」に該当しない場合、共同利用は可能です。
個人データを第三者へ提供することは原則として禁止されています。
しかし、データを提供する側とされる側が密接に関連している場合、この規制は厳格すぎる場合があります。
そのため、第三者提供の制約を緩和する特例が存在します。
(個人情報保護法第27条5項)
「次に掲げる場合において、当該個人データの提供を受ける者は、前各項の適用においては、第三者に該当しないものとする。」
つまり、「次に掲げる場合」に当てはまる場合、あらかじめ本人の同意を得ないで個人データを提供できます(共同利用し得る)。
では、その具体的な条件を見てみましょう。
以下の場合には、第三者提供に該当しません。
①事業者が、業務の委託先に提供する場合
②合併その他の事由による事業の承継に伴って個人データが提供される場合
③グループによる共同利用の場合
≪↑ ③に注目!≫
ここで「グループ」とは、「本人からみて、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲」とされていて、「本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要」があります。
具体的に想定される例として、親会社・子会社間、グループ企業間、その他の事業主体間等が考えられます。
たとえば、関連する企業間で共通のポイントカードを運用する場合など、データの共同利用により各企業の戦略的な利点を生み出し、顧客サービスの質を向上させる手段となるでしょう。
Q2. では、個人情報をグループで共同利用する際、大事なことは何ですか?
A2. 5つの情報をあらかじめ本人に知らせるか、本人が容易にアクセスできる形で提供することが必要です。
【明確にすべき5つのこと】
①共同利用するという事実(自社内だけでなくグループで共有することをはっきりと!)
②共同して利用される個人データの項目(例:氏名、連絡先、購入履歴など)
③共同して利用する者の範囲(例:子会社Aなど)
④データの利用目的(例:マーケティング、新商品の開発など)
⑤データの管理責任者の氏名または名称、住所。法人の場合は代表者の氏名。
以上の5項目について、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている」必要があります。
(個人情報保護法第27条5項3号)
Q3. 「本人が容易に知り得る状態」とは、具体的にどのようにしたらよいですか?
A3. ホームページに継続的に掲載する方法などが考えられます。
例えば、自社のウェブサイトのトップページから1回程度の操作で到達できる場所等に継続的に掲載する、または、スマートフォンアプリで必ず目に入るようにポップアップ通知するなど、利用者が容易に確認できるようにすることが必要です。
個人情報保護委員会のガイドライン(通則編)3-6-3では、「共同利用の趣旨」について詳しく説明されています。また、事業者が共同利用を効率的に進めるため、共同利用者間の責任等を事前に明確にすることが推奨され、どのような事項を取り決めるべきかの指針も提供されています。これにより、共同利用の運営がスムーズに行われることを目指しています。
共同利用に際しては、適切な情報セキュリティ対策を施すとともに、万一のデータ漏洩やその他の問題が発生した場合に備え、共同利用者間で責任の所在を明確にすることが求められます。これは、共同利用が認められても、それぞれの事業者が法的責任を負う可能性があるためです。
このように適切に手続きを踏むことで、特定の事業者との間で過去に取得した個人データの共同利用が可能となります。
弁護士法人谷井綜合法律事務所では、クライアント様の立場に立った法務相談を行っております。
ご相談はこちらから > お問合せ | 谷井綜合法律事務所