1 個人データの第三者提供には、あらかじめ本人の同意が必要
一般の事業会社が、あらかじめ本人の同意を得ないで個人データを第三者に提供できるのは、次のような場合です。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
なお、そもそも「第三者への提供」自体が利用目的である場合などには、所定の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置いた上で、個人情報保護委員会へ届け出れば、「オプトアウト」の形で個人データを第三者に提供できます。
オプトアウトとは、あらかじめ本人の同意を得ることなく、個人データを第三者に提供すること(本人から求めがあった場合に、求めに応じて第三者提供を停止することが条件)
です。
注意が必要なのは「要配慮個人情報」を第三者に提供する場合です。
要配慮個人情報とは、不当な差別や偏見などの不利益が生じないよう、取り扱いに特に配慮を要する個人情報のこと
です。具体的には、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、心身の機能の障害があること、医師等により行われた健康診断の結果などが該当します。要配慮個人情報をオプトアウトの形で第三者に提供することは禁止されており、法令に基づく場合などの例外を除いて、必ず本人の同意を得なければなりません。
実務上、社員の健康情報(健康診断の結果や病歴など、健康に関する個人情報)を健康保険組合に提供する場合などがありますが、健康情報の多くは要配慮個人情報に該当し、そうでない場合も機微な情報が含まれ得ることなどから、要配慮個人情報に準じて取り扱うことが望ましいとされています。あらかじめ利用目的を通知し、社員の同意を得ておくとよいでしょう。
■個人情報保護委員会「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」■
https://www.ppc.go.jp/personalinfo/legal/ryuuijikou_health_condition_info/
2 外国にある第三者への提供は制限されている
個人データを外国にある第三者に提供する場合、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならず、その際、
- 当該外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度
- 当該第三者が講ずる個人情報の保護のための措置
に関する情報を、本人に提供しなければなりません。
この他にも押さえるべきポイントは多岐にわたります。そのため、ガイドライン(通則編)とは別に「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」が定められています。興味のある方は確認してみてください。
■個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」■
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
3 第三者提供については記録を残す
個人データを第三者に提供したとき、または第三者から個人データの提供を受けるときには、次の事項の確認および記録の作成を行わなければなりません(保存期間は原則3年)。
この他にも押さえるべきポイントは多岐にわたります。そのため、ガイドライン(通則編)とは別に「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」が定められています。興味のある方は確認してみてください。
■個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」■
https://www.ppc.go.jp/personalinfo/legal/guidelines_thirdparty/
以上(2024年12月更新)
pj60353
画像:THAWEERAT-Adobe Stock