ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人情報保護法の共同利用者の変更の謎

個人情報保護法ガイドライン通則編55ページに以下の記載がありました。

「共同して利用される個人データの項目」及び「共同して利用する者の範囲」について変更することは、原則として認められないが、例えば次のような場合は、引き続き共同利用を行うことができる。
事例 1)共同利用を行う個人データの項目や事業者の変更につき、あらかじめ本人の同意を得た場合
事例 2)共同利用を行う事業者の名称に変更があるが、共同して利用される個人データの項目には変更がない場合
事例 3)共同利用を行う事業者について事業の承継(※4)が行われた場合(共同利用する個人データの項目等の変更がないことが前提)

 

「共同して利用する者の範囲」の変更ができないというのは、不思議。もちろんこういった記載が、共同利用の脱法化・法の趣旨潜脱を防ぐ目的というのは理解できますが。

 

「当社及びグループ会社間で個人データを共同使用します」としていた場合に、グループ会社が増減した場合でも、共同利用者の変更ができなくなってしまう。グループ会社の増減って事業承継以外でも普通に単純新設とかありますよね。その場合に共同利用者の変更ができないって変ですよね…。

また、「複数病院で研究+医療機器開発する」場合に、その参加病院が増えたときも、共同利用者の変更になってしまい、共同利用ができなくなってしまう。

これらの場合は、「グループ会社」「参加病院」というのが共同利用者の範囲であって、個社名までは範囲に含まれないというか、その範囲であれば個社に増減があっても良いとするのでしょうか。謎です。ガイドラインでいう事例2に当たる的な判断も可能でしょうかねえ…。微妙。

例えば、「A学会」「B学会」が共同利用者だとして、「A学会」の参加者って増減しますよね。その場合でも、「A学会」というのは変わらないからよいというような考え方を取れば、「グループ会社」「参加病院」だって同じで、その構成員が変動しようが、「グループ会社」「参加病院」というのは変わらないから、共同利用者の範囲に変更はないと捉えることもできるかも???

「A学会」が法人格なくて任意団体の場合(さらにいえば、権利能力なき社団の場合とそれに当たらない場合がある)は、まあ「参加病院」とかも任意団体と捉えれば、「A学会」と同視できると考えられなくはない??しかし「グループ会社」というのは、任意団体風にとらえることはいくらなんでもできないと思うし。

さらに言えば、今やっている共同利用とは別で、もう一個新しく、共同利用を始めるか、今やっている共同利用を終了して、新しく共同利用を始めれば、共同利用者の変更にはならず、適法にできるはず。

まあ、ガイドラインの「原則」を幅広に解釈して、社会的に妥当な範囲の変更であれば、「例外」に当たって変更可能みたいにするのでしょうかね。なんかきちっと整理できていない気がしますが…。

個人情報保護法23条6項の立法解説資料かなんかを私が情報公開請求して検討しても良いかもしれませんが、ただ、立法時に、共同利用者の変更について、具体的に考えられていたかはわからないし…。

 

共同利用って使い勝手が良い曖昧な規定と捉える向きもあるんで、悪用されやすいけど、でもだからといって廃止できない(=必要性がある)と思うんで、共同利用について調査研究を打って、で、適切な共同利用パターンを洗い出すなど、国の調査研究事業としてやってはどうかと思います。

で、理想論をいえば、そのパターンに該当しないものは、個人情報保護委員会か認定個人情報保護団体の事前相談が必要にして、相談に通らないとできないとするとか。でもそうすると相談業務が膨大になって、遅滞を起こしちゃうかなあ…。

 

2020.3.18追記

個人情報保護法の立法当初の立法担当官解説(ぎょうせいの園部編・藤原静雄・個人情報保護法制研究会著「個人情報保護法の解説」改訂版157ページ)にも、そもそも現行ガイドラインと同様の記載があるのですね。

記載されているのは、おおむね以下の内容です。

・共同利用者の範囲やデータ項目を変更することは、信頼関係等の基本となる事項であるので、原則として本人同意が必要になる。

・実質的な内容の変更に至らない形式的変更(社名変更)まで認められないという趣旨でない。

 

これ、最初の個人情報保護法立法時の大綱で「一定の契約関係等の下に、取扱主体が複数あっても、個人データが共有される事業者の範囲、利用目的等その責任範囲等についてあらかじめ通知、公表等により明確になっている場合も適用を除外することが適当である」って書かれていたことを受けて、この共同利用の条項ができたようです(ぎょうせいの同書155ページ)。

共同利用者の範囲について、外部の者が容易にわかるようになっていれば(一覧リンクや別紙貼付)、個社名列挙まではいらないので、やはり、上に書いたみたいに「グループ会社」「参加病院」というのが共同利用者の範囲であって、個社名までは範囲に含まれないというか、その範囲であれば個社に増減があっても良いとするのでしょうかねえ…。