個人データは本人の同意を得て第三者へ提供をするのが原則ですが、「オプトアウト」の制度を使えば、一定の条件の下で、本人の同意が無くても提供をすることが可能です。ただし、要配慮個人情報や不正取得データなどには利用できないため注意が必要です。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

  個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

  平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

   個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人情報を第三者へ提供するときの原則

1 条文の確認

個人情報の第三者への提供に関する原則を規定した条文は、個人情報保護法第27条第1項になります。

【個人情報保護法第27条第1項】

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(以下略)

上記のとおり、個人情報保護法第27条第1項において、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と規定されています。

つまり、本人の同意が無ければ、個人データを第三者に提供してはならない、ということが大原則となっています。

なお、親会社と子会社で個人データの授受をする場合や、フランチャイズの本部と加盟店の間で個人データの授受をする場合も第三者への提供となりますので、注意が必要です。

2 (補足)個人データとは 

「個人データ」とはどういったものなのかについては、個人情報保護法第16条第3項に規定されています。

【個人情報保護法第16条第3項】

この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

つまり、「個人データ」とは、「個人情報データベース」等を構成する個人情報が該当するということになります。

 次に、「個人情報データベース」の内容については、個人情報保護法第16条第1項に規定されています。

【個人情報保護法第16条第1項】

この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

つまり、「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成されている、個人情報を含む情報の集合物をいいます。

なお、この検索性については、コンピュータを用いる場合のみならず、紙に記載されている個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるようになっており、他人によっても容易に検索可能な状態に置いているものも該当するとされています。

3 まとめ

以上のように、個人情報保護法上の個人情報データベース等を構成する個人情報(=個人データ)については、原則として、本人が同意しなければ第三者に提供することができません。

第3 例外的に本人の同意が無くても第三者に個人データを提供できる場合

もっとも、上記の原則に対して、例外的に本人の同意が無くても第三者に個人データを提供することができる場合があります。

例えば、法令に基づく場合(個人情報保護法第27条第1項第1号)や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(個人情報保護法第27条第1項第2号)などがあります。

そのほか、「オプトアウト」という制度を利用することによっても、本人の同意なく第三者に個人データを提供することができます。

1 オプトアウトとは

オプトアウトという制度については、個人情報保護法に以下の規定があります。

【個人情報保護法第27条第2項】

個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

つまり、個人データを第三者に対して提供するに当たり、

・所定の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くとともに、
・個人情報保護委員会に届け出る

ことで、本人の同意が無くても個人データを第三者に提供することができます。

 前記の本人の同意を得ることが「オプトイン」であり、その対比となります。

2 オプトアウトが使えない場合

以下のような個人データについては、オプトアウトの手続きを利用して第三者への提供をおこなうことはできません。

・要配慮個人情報、すなわち、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害にあった事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの

・オプトアウトにより提供を受けた個人データを再度オプトアウトにより第三者に提供すること

・不正取得された個人データ

 これらについては、たとえオプトアウトの手続きを取っていたとしても第三者提供はできませんので、注意をする必要があります。

3 オプトアウトの際に届け出る事項

オプトアウトの制度を利用する場合は、個人情報保護委員会への届出の手続が必要です。

その際に、本人への通知または知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない事項は、以下の9点です。

① 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名(個人情報保護法第27条第2項第1号)

② 第三者への提供を利用目的とすること(個人情報保護法第27条第2項第2号)
※ 利用目的は具体的にわかる内容とする必要があり、「等」や「その他」といったあいまいな記載は望ましくないとされています。
例えば、「○○の商品を購入した者の名簿を作成し、販売することで、個人データを第三者に提供する」といった記述が考えられます。

③ 第三者に提供される個人データの項目(個人情報保護法第27条第2項第3号)
※ ここでは、オプトアウトにより第三者に提供される個人データの項目(氏名、住所、電話番号、年齢等の項目)を網羅的に示す必要があります。なお、明示していない個人データの項目は、オプトアウトにより第三者に提供できません。

④ 第三者に提供される個人データの取得の方法(個人情報保護法第27条第2項第4号)
※ 第三者に提供される個人データについて、取得元(このようなツールから取得したのか)、および、取得の方法を示す必要があります。

⑤ 第三者への提供の方法(個人情報保護法第27条第2項第5号)
※ 出版物としての販売、インターネットへの掲載による公開、電磁的記録による交付など、提供の方法を示します。

⑥ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること(個人情報保護法第27条第2項第6号)

⑦ 本人の求めを受け付ける方法(個人情報保護法第27条第2項第7号)
※ メール、郵便、FAXなどの方法のほかに、本人が求めを行う連絡先(事業者の名称、担当の窓口の名称、郵送先の住所、送信先のメールアドレス等)が含まれます。

⑧ 第三者に提供される個人データの更新の方法(個人情報保護法第27条第2項第8号、個人情報保護法施行規則第11条第4項第1号)

⑨ 当該届出に係る個人データの第三者への提供を開始する予定の年月日(個人情報保護法第27条第2項第8号、個人情報保護法施行規則第11条第4項第2号)

4 オプトアウトに関する事項の変更や個人データの提供をやめたとき

オプトアウトの届出に関し、氏名又は名称、住所、法人等の代表者に変更がある場合や、第三者に提供される個人データ等の項目等に変更がある場合、個人データの提供をやめた場合においては、その旨を本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません(個人情報保護法第27条第3項)。

第4 最後に

オプトアウトは、本人の同意を得る必要が無いという点では有益ですが、その分、手続きや制限もありますので、しっかりと仕組みを理解して利用する必要があります。

もし、ご不安がある場合には、専門家である弁護士にご相談ください。

ご相談
グリーンリーフ法律事務所は、設立以来35年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
  ※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士

弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治

弁護士のプロフィールはこちら

関連投稿:

  1. 個人情報保護法に違反した場合の罰則は?
  2. ほぼすべての事業者が対象となる個人情報保護法について、社内で定めるべきルールとは
  3. 個人情報保護法との関係で、町内会において注意すべきことは?
  4. 個人情報の取り扱いを外部の第三者に委託する際の注意点は?