ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人情報保護法上、個人データ提供が可能な「委託」「共同利用」の区別等の疑問

※かなり細かな法律的な話を書いています。

 

 

1.委託と共同利用

(1)はじめに

個人情報保護法上、本人同意を得なくても、「委託」の場合は、個人データを他の会社等に提供することができます。

この「委託」とは一体何なのか、「共同利用」とは何が違うのか、数年にわたって、ぼんやり考えてき続けましたが、いまだに解が出ません。

(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない
(略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

 

(2)委託の解説

個人情報保護法23条5項1号「委託」とは、個人情報保護法制定時の立法担当官の書籍を見ると、次のように記載されています(園部逸夫編・藤原静雄・個人情報保護法制研究会著「個人情報保護法の解説」改訂版、ぎょうせい、平成17年 142ページ)。

「『委託』とは、委任契約、請負契約といった契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行うよう依頼する契約の一切を含むものである。具体的には、個人情報取扱事業者が外部の情報処理会社等に対して個人データの入力、編集、出力等の処理を行うことを依頼すること等が想定される」

 

(3)共同利用の解説

個人情報保護法23条5項3号「共同利用」は、次のように記載されています(同書155ページ)。

個人データが一定のグループ内で取り扱われる場合であって、グループ内の事業者の範囲やその管理責任等を明確にすることにより、グループ内の利用を例外として第三者提供としての規律から除外するものである。

例えば、旅行業においてグループ企業を通じて移動・宿泊・観光・食事といった総合的なサービスを提供するなど、特定の事業者が取得した個人情報を、本人のニーズに対応した商品・サービスの提供や事業活動の適正化等のために、一定の契約関係の下に、特定の事業者との間で相互に利用することが行われている。

 

宇賀克也「個人情報保護法の逐条解説」第5版(有斐閣、2016年)171ページでは、次のような例の記載があります。

金融機関間で延滞情報を交換する場合、旅行業界で顧客情報を共有する場合…病院と訪問看護ステーション

 

(4)それぞれの典型例

「委託」の典型例としては、データ入力・印刷などです。

「共同利用」の典型例としては、グループ企業間、病院と訪問看護ステーション、共同研究(学術研究の範囲外のもの)、キャンペーンの共催などが挙げられるかと思います。

私はこれまでイメージ的には、「委託」は上下の関係、「共同利用」は横の関係的に、説明してきました。

 

2.委託と共同利用に関する謎

(1)委託と共同利用の境界があいまい

しかしです。典型例のキャンペーン共催やグループ企業、共同研究なんかは「委託」と「共同利用」の違いがなんとなくわかりますが、限界事例というか、そういうたぐいのものでは、はっきりいって何が違いなのかがよく見えません。

(2)旅行はなぜ委託ではないのか

「共同利用」、個人情報保護法のそもそもの立法当初は旅行業界が例に挙げられていました。しかし、旅行代理店が鉄道、バス、タクシー、空港送迎の人、ホテルに個人情報を渡すのって、これって「委託」と構成できないのでしょうか。

 

旅行業者が旅行者の依頼を受けホテルを予約する等の行為は、通常、「仲立」にあたるとされています(江頭憲治郎「商行為」200ページで引用されている島十四郎「旅行あっ旋業の法的性格」484ページ)*1

 

法律学小辞典で「委託」を調べてみると、以下のように記載されています。

一定の行為を他人に依頼すること。委託者と受託者の間に信任関係を生じ、一定の法律関係の基礎となる。例えば、法律行為の委託は委任であり、法律行為以外の委託は準委任である。そのほか寄託・請負・運送・信託・問屋・仲立・手形などの制度は、それぞれ特定の行為を他人に委託する関係である。

 

請負、準委任以外であっても、「委託」に当たりそうです。なぜ、旅行会社が個人情報保護法立法当時「委託」ではなく「共同利用」とされたのか。立法当時の資料を紐解いてみる必要があるかもしれません。

 

(3)グループ会社間の共同利用の謎

そして共同利用の典型例のグループ企業間も、ゆっくり考えるとよくわかりません。「委託」もしていないのに、グループ会社間なら幅広に個人データの共有がなぜできるのか。

総合的なサービス提供をするからっていう声も返ってきそうですけど、例えば、水町ホールディングス傘下に、コンサル会社と修理会社とホテルと飲食店があったとして、業態全然違うのに、それぞれが利用目的の範囲内なら、これ、共同利用できちゃうわけですよね。

まあ「当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要がある」(ガイドライン通則編52ページ)から、いくら水町ホールディングス傘下とはいえ、予期できないよね、といって、共同利用不可という解釈を取った方が正当ではありますが、世の中の実態を見ると、たぶん、資本関連があれば共同利用可と考えている方も少なくないのでは?とも思うのです。

 

(4)まとまりのないまとめ

というように、委託と共同利用は考えても考えが尽きず、すっきりした自分なりの考えがまとまりません。おそらく、この解をきっちりと持っている人って、現在、世界中どこにもいないのではないかとすら思います。そんなことないかな??

GDPRのJoint ControllerとProcessorの差異が、意外と委託と共同利用の差異の解を導けそうにも思いましたが、まだあまり深くJoint ControllerとProcessorについて調べたりもしていません。旅行代理店とか空港会社に会社が手配をお願いして個人データを渡しても、これはProcessorではなくJoint Controllerだという話を聞きました。感覚的にはとても理解できます。これって、Processorや委託としての管理責任を問われたとしても、現実問題、管理できないですからね。

なかなか解が出ませんが、引き続き考えていきたいと思います。

 

3.共同利用者の範囲の変更

最後に、共同利用者の範囲の変更ができないという点についても、ブログを追記しました。

  1. cyberlawissues.hatenablog.com

*1:但し、航空会社の代理店である旅行業者が航空券を発行するのは代理商、企画旅行契約は取次。代理商は委任又は準委任(江頭「商行為」239ページ)。取次とは自己の名をもって(自分が権利・義務の帰属主体となって)他人のために(他人の計算、すなわち経済的損益を他人に帰属させて)法律行為をなすことを引き受ける行為で、証券会社や商品の委託販売などが例。