第三者提供(法23条)という場合の「第三者」とは、情報主体たる本人およびその情報を取り扱う事業者以外のすべての者を指します。「提供」とは情報を渡すことです。この定義に従うと、A社とB社が共同事業を行う際に情報を共有する場合、すなわちA社が取得した情報をB社も利用するし、B社が取得した情報をA社も利用するような取り決めをしている場合は、その情報提供の1つ1つが「第三者提供」になりそうです。また、個人情報を含んだデータをPCに打ち込む作業だけを外注している場合なども「第三者提供」に該当することになります。
ところで、法23条は、データベース化された個人情報を第三者提供することについて、厳しい規制をしています。しかし、上で挙げた2つの例などのケースで厳しい規制をすれば、これまで行われている多くの事業活動を続けるのが困難になってしまいます。そこで、この法律においては、上記の例すなわち「共同利用」や「委託」の場合は、外形的には第三者提供に該当しても、同じルールは適用せず、提供が許される要件を緩やかにしています(法23条4項各号)。
しかし、現実の場面では、これらの区別が難しい場面があります。例えば、ある企業C社が保険会社D社と団体生命保険に関する契約を締結し、保険会社に社員の個人情報を提供している場合を想定した場合、「第三者提供」「共同利用」「委託」のどれに当たり、どのような要件をクリアすれば提供が許されるのでしょうか。
まず、このケースのように一方向だけに情報が提供される場合は「共同利用」とは言わないと考えられます。「第三者提供」か「委託」かは、当該事業主体がC社なのか保険会社D社なのかによって区別すべきだと考えられます。すなわち、この保険事業を保険会社D社が行っていると考えれば「第三者提供」になり、保険事業の主体はC社であると考えれば、保険事業にかかわる事務とそれに含まれる個人データの取扱いを「委託」していることになり、「第三者提供」ではないということになります。どちらが主体かという具体的な区別は、保険会社D社とC社の間の契約内容を確認する必要があるということになります。
古本晴英プロフィール
Copyright © ITmedia, Inc. All Rights Reserved.