コラム・チェックポイント

2023.03.21 内田清隆法律事務所

個人データを本人の同意なく第三者提供できる「委託」とは? 

第三者提供は原則として本人の同意が必要

個人データを第三者に提供する場合には、原則として、本人の同意が必要です。個人データの所在が移転すると、本人に不利益が生じるリスクが上がると考えられているためです。

※個人データとは?
「個人データ」とは、「個人情報データベース等を構成する個人情報」です。
平たく言えば、「個人データ」は、「個人情報」のうち、データベース化されるなどして検索することができるようになっているものです。
例えば、もらった名刺をバラバラに保管している場合には、その名刺は、単なる個人情報に過ぎませんが、あいうえお順にファイリングすれば、個人データになります。
第三者提供をするのに本人の同意が必要なのは、「個人情報」の中の「個人データ」だけです。

しかし、例外的に、本人の同意が必要でない場合が幾つかあります。
その一つが、個人データを取り扱う業務を委託するために、個人データを第三者に提供する場合です。
この場合は、委託元が委託先を自らの手足として使っているだけなので、委託元だけが個人データを取り扱っている場合と比べて、大して状況は変わらないからです。

実際、業務の一部をアウトソーシングをするために、個人データを第三者に提供する必要が生じた場合、必ず本人の同意が必要とされれば、業務の柔軟性は大幅に制限されることになります。実務的にみても、必要不可欠な例外でしょう。

なお、委託することは利用目的に含めておく必要はありません。委託は、利用目的を達成するための手段に過ぎず、どのような手段を取るかについては、本人に逐一知らせておく必要はないからです。

  
個人データの取り扱いに関する業務を委託する場合とは?

個人データは、その利用目的の達成のために必要な範囲内で取り扱うことができます。委託することができる業務は、そのような範囲内のものに限られます。
ここでいう「委託」とは、委託元が自ら行うべき個人データの取扱い業務を、委託元に代わって委託先に行わせるものなので、委託元ができない個人データの取扱い業務を委託先に委託することはできないのです。

典型例としては、次のような場合をあげることができます。
① データ分析を依頼するために、分析業者に個人データを提供する場合
② 商品配送を一括委託するために、配送業者に顧客の住所等の個人データを提供する場合

なお、①の場合でも、分析業者に提供するデータが、個人が識別できないような統計情報であれば、そもそも個人データの提供には該当しないので、本人の同意は必要ありません。
また、②の場合でも、配送を依頼する度に、配送先の顧客の住所等を配送業者に提供していれば、個人データではなく個人情報を提供しているだけなので、本人の同意は必要ありません。

委託先を監督しなければならない

個人データを取り扱う業務を「委託」するために個人データを提供する場合には、本人の同意は必要ではありません。だからといって、何もせずにいることは許されません。

委託先を適切に監督する必要があります。そして、適切な監督をしていると認められるためには、次の4つのポイントを押さえなければなりません。

① 委託先を適切に選ぶ
② 委託に当たって適切な内容の契約を締結する
③ 委託先における個人データの取扱状況を把握する
④ 必要に応じて委託内容等の見直しをする