個人情報の第三者提供に関する留意点

1. 個人データの第三者提供に伴うリスク
2. 第三者とは、第三者提供とは
3. 第三者が「外国」となる要件
4. 個人データの共同利用に関する注意点

個人データが一度漏えいすれば、完全な回収や消去は困難である。そしてそのデータが極めて個人的な内容であり、かつ意図せざる者の手に渡った場合は、データの悪用や個人のプライバシー権侵害の危機となる。

個人データに関する国内外の規制ではこのような事態を防ぐため、主な漏えいの発生原因となりうる第三者提供に関する制限を設けている。そこで、日本の改正個人情報保護法の第三者提供に関する重要な規制、特に外国にある第三者への提供における留意点について解説したい。

まず第三者の定義については、基本的に法的な人格が同一でない組織や個人を意味するものと解される。この定義は国内外を問わず適用され、同一企業の海外支店への個人データの移動や、同社が保有する海外のデータセンターに自社サーバーを設置している場合の当該サーバーへの個人データの保管は、第三者提供に該当しない。これに対し海外子会社に個人データを送付することは、第三者提供に該当する。

提供先という観点から「外国にある第三者への提供」に判断される要件とその影響について説明したい。具体的には（1）第三者が我が国と同等の水準と認められる個人情報保護制度を有している外国に所在する場合、（2）外国の第三者が日本国内の事業者と同様の安全管理に関する措置を継続的に講ずる体制を整備している場合──は、個人データの提供において国内の第三者と同様の手続きが適用される。一方、上記2つの要件に該当しない場合は、国内ではなく外国にある第三者への提供の扱いとなる。例えば個人データを第三者提供することの本人同意をオプトアウト手続き（本人の求めに応じて第三者への提供を事後的に停止）によって代替することができなくなる恐れがある。

個人データの取り扱いについて業務委託先や個人データの共同利用先は従来、第三者には該当しないと解釈されている。だが、その委託先や共同利用先が外国にある場合にも、前述の2つの要件が重要となる。なぜなら、要件に該当していない場合の提供先は外国にある第三者として、個人データの第三者提供に関する制限を受けることとなる。すなわち、外国にある第三者への提供を認める本人の同意取得や個人データの提供記録の作成や保管等が必要となるので、注意が必要だ。

KPMGコンサルティング
マネジャー　勝村 学

日経産業新聞　2016年11月10日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。