個人データを社外とやり取りする場面で、それが委託なのか、共同利用なのか、あるいは第三者提供なのかという点が曖昧なまま運用していませんか?
これらの区別を取り違えると、プライバシーポリシーの記載だけでなく、本人同意の要否、契約の作り方、社内の管理手続まで連鎖的に崩れてしまうおそれがあります。
この記事では、共同利用とは何か、そして委託・第三者提供との違いを、実務で判断できるよう整理します。
同じ「共有」でも、法律上の意味が異なる
「委託」でも「共同利用」でも「第三者提供」でも、自社が保有する個人データを他社に渡すという点で共通しています。
しかし、これらは似ているようにみえますが、法的には適用されるルールが変わります。
判断のポイントとなるのは「提供先が、誰の目的で、どんな立場で使うのか」です。
| 区分 | 提供先の立場 | 本人同意 | 事前の公表・通知 | 実務上注意ポイント |
|---|---|---|---|---|
| 委託 | 自社のために処理する(代行) | 原則不要 | 委託としての記載が望ましい場面あり | 委託先管理(契約・監督) |
| 共同利用 | 複数社が一体運用として使う(要件あり) | 要件を満たせば不要 | 共同利用の所定事項が必須 | 範囲の明確化、管理責任者、変更管理 |
| 第三者提供 | 相手が自社の目的で使う | 原則必要(例外あり) | 同意取得やオプトアウト等 | 確認・記録義務、同意管理 |
この表で最も誤解が多いのは、委託と共同利用を「同意がいらないから似たもの」と捉えてしまい、区別の必要がないと考えてしまう点です。
なお、他社にデータを渡すシーンとしては、他に「事業承継」がありますが、この「事業承継」「委託」「共同利用」によって個人データを受け取る者は第三者には該当しないとされています(個人情報保護法(「法」)27条5項)。
委託とは
委託は、利用目的の達成に必要な範囲で個人データの取扱いを外部に任せるもので、個人データの第三者提供における例外の1つです。
典型例としては、配送、印刷、データ入力、システム保守、クラウドによるデータ保管や処理などが挙げられます。
委託については別記事も公開していますので、そちらもご参照ください。
個人情報の取扱いの委託とは?委託先の監督義務と“混ぜるな危険”問題
委託の実務で重要なのは、「委託先が自社の目的で使わないように設計できているか」という点です。
契約書に目的外利用の禁止や再委託条件を書いていても、実際の運用では委託先がデータを分析して自社サービス改善に使ったり、広告配信に転用したり、更には自社製品の宣伝DMを送ったりといったことが起きれば、委託の枠を超えるおそれが非常に高いです。
そのため、適切な委託先を選定するとともに、法令でも求められている適切な監督(法25条)が重要だといえます。
共同利用とは
共同利用も、一定の要件を満たす場合に、提供先が第三者に当たらない扱いとなる、第三者提供の例外の1つです。
ただし、共同利用は便利な抜け道ではなく、本人から見て「提供元と提供先が一体のものとして取り扱われることに合理性がある」範囲での共同運用を想定したものであり、これが共同利用を第三者提供として取り扱わないための重要な趣旨です。そのため、グループ会社だから自動的に共同利用になる、という理解は危険です。
共同利用を行うには、共同利用を開始する前に、本人に通知するか、本人が容易に知り得る状態に置くべき事項があります。
その内容は法により定められており、以下の4点です。
- 共同利用する旨
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 個人データの管理について責任を有する者(名称に加え住所、法人であれば代表者氏名まで)
ここで注意が必要なのは「共同利用する者の範囲」で、本人が、どの事業者まで自己の情報が利用されるのか判断できる程度に明確である必要があります。
開示先となる全社名をすべて列挙しなければならないわけではありませんが、本人が判断できない曖昧さは許容されません。
例えば「当社グループ」だけ書いたとしても、その定義やグループ会社一覧が示されていない、といった状態は、説明として弱くなりがちです。
また、注意が必要なのが「個人データの管理について責任を有する者」です。
ここで求められているのは社内の担当者名ではなく、共同利用者の中で、開示等の請求や苦情を受け付け、訂正・利用停止などの権限も含めて一次的に責任を負う主体です。
特に、令和2年改正により、責任を有する者の住所、そして法人である場合は代表者氏名も、本人への通知または本人が容易に知り得る状態におく必要があります。
古いプライバシーポリシーのまま運用しているような場合は、こういった点も含め、しっかり見直すことも大切です。
なお、この「個人データの管理について責任を有する者」は1社に限られるものではなく、共同利用する複数の会社がそれぞれ”責任を有する者”になることは可能だとされています(Q&A 7-49より)。
この場合、「個人データの管理について責任を有する者」として各社の情報を本人に通知し、または本人が容易に知り得る状態に置く必要があります。
第三者提供とは
第三者提供は、委託でも共同利用でも事業承継でもない形で、個人データが他社に渡る場合を基本的に指します。渡した先の会社が、その会社の営業、マーケティング、顧客管理など、自社の目的で使うのであれば、基本的に第三者提供に該当します。
第三者提供は原則として本人同意が必要ですが、いくつか例外もあります。
同意なしで第三者提供できる場合については、別記事をご参照ください。
なお、第三者提供を行う場合には、提供・受領に伴う確認や記録の義務が問題になりやすく、同意を取って終わりではない点にも注意が必要です。
共同利用と委託・第三者提供の区別
このように、個人データが他社に渡るような場合については、それが委託なのか共同利用なのか事業承継なのか、あるいは第三者提供なのかをしっかり把握することが重要です。
代表的な事例について、これらの区別について考えてみます。
グループ会社での共有
共同利用する場合の代表例が、このグループ会社内での利用だと思います。
しかし、常に「グループ会社だから共同利用」となるわけではなく、共同利用として整理するのであれば、先述した通り範囲、目的、管理責任者といった所定事項を、提供開始前に本人が確認できる形で整える必要があります。
逆に、それが整っていない状態でグループ会社に顧客データを渡して利用させると、共同利用ではなく、同意のない第三者提供だと判断されるリスクが高まります。
クラウドサービスの利用
クラウド事業者に顧客データを預けるケースは、委託として整理できるケースが多いですが、クラウド事業者側が自社目的で利用しないことが必要であり、また再委託の条件、事故時の通知や削除・返却など、委託としての管理を契約と運用で担保する設計が重要になります。
「共同利用だということにすれば監督する必要がない」と思うかもしれませんが、どんな場合でも共同利用だとすることはできず、あくまで先述の趣旨のもとで必要な要件を満たした場合に限られる制度だという点は十分認識しておく必要があります。
共催セミナーの申込やアンケート
これは実務上悩むことが多いように感じられるものです。
個人情報の取得シーンなどによって変わりますが、共催各社がそれぞれ取得者として見える形で集めるなら、各社が自社の利用目的を明示して取得することが考えられます。
この場合、各社が直接個人情報を取得しているのであり、第三者提供にも共同利用にも該当しません。
一方で、幹事会社だけが取得し、後から共催各社と共有するのであれば、原則として第三者提供となり、本人同意が必要になります。
あるいは、共同利用として整理するのであれば、共同利用の要件を満たす形で、あらかじめ本人に分かるように設計する必要があります。
紹介やリード提供
紹介先が自社の営業活動に使う目的で個人データを受け取る場合、原則として第三者提供であると考えられます。
これは、共同利用とするには本人から見た一体性や合理性が問われるため、「提携しているから共同利用」だとは一概にいえません。
そのため、安易に共同利用へ寄せるのではなく、同意取得の導線と文言を堅く作るほうが安全な場面が少なくありません。
共同利用条項は「書けばよい」ではなく、「運用できる形」で作る
共同利用の条項は、単に体裁として要件を埋めればよいというものではなく、しっかり運用が追いつかなければ意味がありません。
そのため、実務で意識したいのは次の3点です。
(1)本人が知り得る状態におくことを、現実的に「容易」にする
ウェブサイト上のプライバシーポリシーへの掲載が最も扱いやすい方法だといえますが、トップページからの導線、スマートフォンでの視認性、改定履歴の残し方まで含めて、問い合わせが来たときに説明できる形が大切です。
(2)事業者都合で変更できない項目がある
法27条6項では、利用する者の利用目的や個人データの管理について責任を有する者を変更するときは、以下のタイミングで本人に通知し、または本人が容易に知り得る状態におくことが求められています。つまり、事前または事後に通知等を行えば、変更することができます。
| 項目 | 通知等の時期 |
|---|---|
| 利用する者の利用目的 | 事前 |
| 個人データの管理について責任を有する者の氏名又は名称及び住所、並びに法人にあってもその代表者の氏名 | 管理責任者を変更する場合:事前 名称・住所・代表者氏名の変更:事後遅滞なく |
逆にいえば、上記以外の項目、つまり「共同して利用される個人データの項目」や「共同して利用する者の範囲」については、法律上変更できるとは規定されていませんので、変更するためには本人の事前の同意が必要であると考えられます。
(3)共同利用者間でのルール
共同利用者間で、責任分担や事故時連絡、目的外利用の禁止、終了時の削除・返却などを取り決めておくことも、円滑な実施のためには重要です。
このように、共同利用は第三者提供の例外である以上、共同利用開始後に説明に窮したり違法性が露呈することのないよう、最初にしっかり設計を固めておくことが大切であるといえます。
判断に迷うときは、目的と立場から逆算する
このように、委託・共同利用・第三者提供は、適用されるルールが異なるため、安易な取扱いは事故の元になりかねません。
相手がどの立場でデータを扱い、誰の目的で利用するのか、本人に何をどのタイミングで示しているのか、そしてその説明と契約・運用が整合しているのか等について、十分に検討し、適切な取扱いが求められます。
もし、「委託と共同利用が混ざっている可能性がある」「グループ会社共有の条項が曖昧」「共催施策の同意設計が不安」といった状況があるのであれば、プライバシーポリシー単体を修正するだけでなく、個人情報管理規程、委託契約、運用手順まで一体で整える方が早く確実です。
個別の業務フローに即して、区分整理から条項・規程への落とし込みまで支援することも可能ですので、事故が発生する前にご相談ください。
ビーンズ行政書士事務所 代表 行政書士/情報処理安全確保支援士(登録セキスペ)/個人情報保護士
法律とセキュリティの両方の国家資格を持つ、国内でも数少ないプライバシーポリシー専門の行政書士です。ECサイト、SaaS、マッチングサービス、製造業など幅広い業種のプライバシーポリシーを10年以上にわたり作成・見直ししてきました。テンプレートの使い回しではなく、貴社の実際の運用に合ったポリシーをゼロから設計します。
「うちのポリシー、これで大丈夫?」と思ったら、お気軽にご相談ください!
▶ お問い合わせ
