AからBにAの個人情報を提供します。Aは自分で提供行為をせずに、Xに提供を委託します。この場合、A、そしてXは個人情報保護法上の提供行為を行っていると評価され、各種規制に服するのでしょうか。

 

流れ：　　　　A→（Xを通して）→B

対象データ：　Aの個人情報

 

この質問は、シンプルな問ですが、実は論理の勉強になるような問です。

結論的には誰も気にならないような問だと思いますが、論理的に回答するとどうなるか、以下に記していきたいと思います。

多分お読みいただいても実益はありません。

 

まず、考える際に、AとXを分けて考えていきます。

 

最初にAについて考えます。

 

Aは自分の個人情報をBに提供するわけですが、こういう質問をされたら、まず「どんな個人情報ですか」と確認する必要があります。

Ａの個人情報といっても、いろいろなパターンがあって、それを正確に把握する必要があります。例えば以下のようなパターンが考えられます。

１　Ａが純粋な私人で、私人のＢにＡの個人情報を提供する場合

例）Ａさんが自分の住所をお友達のＢさんに教える場合

２　Ａは個人事業主で、法人のＢにＡの個人情報を提供する場合

例）弁護士が弁護士報酬振込用の自分の口座番号を顧客Ｂに伝える場合

３　Ａは法人で、従業員や役員の個人情報を法人Ｂに提供する場合

例）会社の担当者１が、担当者２の会社メールアドレスを、顧客Ｂに伝える場合

３のパターンの場合、Ａは個人情報取扱事業者です。そして提供する個人情報は法人Ａを対象とする個人情報とは言えません（個人情報の対象者は「自然人２」さんです。まあそもそも法人を対象者とする個人情報自体が存在しないともいえますが。）。つまり、個人情報取扱事業者が別人格の個人情報を別会社に提供する行為なわけであって、これは個人情報保護法２３条で規制される個人データの提供行為と言えます*1。

そして、個人情報保護法上の「提供」とは、自らの手で実行する必要はないので、実際の提供行為をする人がA自身ではなくX社だとしても、Aは、個人情報保護法２３条で規制される個人データの提供行為を行っていると言えます。

 

対象行為は、個人情報保護法２３条で規制される提供行為ではありますが、この点、「担当者２の（明示又は黙示の）同意」をおそらく得ていると思われ、仮にそうであれば、個人情報保護法２３条１項でいうところの、「あらかじめ本人の同意を得」ているので適法となります。

（第三者提供の制限）
第二十三条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

 

なお、２のパターンでも、Aは個人情報取扱事業者であります。そして２のパターンの場合、自分自身の個人情報を第三者に提供しています。この場合、個人情報保護法２３条で規制される行為かどうか、これを考えるのはあまり実益がありません。なぜなら個人情報保護法２３条で規制される行為であっても、自分の個人情報*2を自分の権限で提供しているわけですから、自分の同意が自分に対してあるわけであって、個人情報保護法２３条１項でいうところの、「あらかじめ本人の同意を得」ているので適法となるためです。ロジックという意味では、「個人情報保護法２３条適用行為だが２３条１項の同意があるため適法」とするか、「本人の個人情報の提供は個人情報保護法２３条適用対象外」とするか、どちらかになりますが、まあ解釈論ですよね。番号法だと本人のマイナンバーの提供も規制対象ですから、それと整合を取るという意味で、前者の個人情報保護法２３条適用行為だが本人同意があって適法ととりあえずしておきますかね。

なお、１のパターンの場合、Aが個人情報取扱事業者でないと考えられます。個人情報取扱事業者であるAというのもいなくはありませんが、個人情報取扱事業者である場合でも、提供対象のデータが事業の用に供していない個人情報である場合は、個人情報保護法２３条適用対象外と考えた方がきれいでしょう。文理解釈上それが個人情報取扱事業者や個人データの定義からして明白なわけではありませんが、そう解釈したほうが良いと思います。

 

次に、Xについて考えていきます。
Xは自分の意向ではなく、受託によりAの個人情報をBに提供するわけです。いわば、Aの手足のように行動するわけですが、この場合でも、Xには個人情報保護法２３条が適用されるのでしょうか。

これは、適用されると考えた方が良いと考えます。

 

委託元も委託先も個人情報取扱事業者としてそれぞれ義務を負うわけです。ならば、委託元も委託先も、こういう場合は同様に個人情報保護法２３条の規制に服すると考えた方が良いと思うからです。

 

委託元における個人情報保護法２３条の解釈は上記の通りですが、委託先における個人情報保護法２３条の解釈はどうなるでしょうか。

 

まず、委託元Aから委託先Xのところに、Aの個人情報がいったん行き、その後XからBのところにAの個人情報が行く流れになるかと思います。

前者のA→X間の提供は「委託」に伴いますので、個人情報保護法２３条５項１号で適法です。これは、オーソドックスな話ですね。
後者のX→B間の提供は、これは提供委託なので、個人情報保護法２３条５項１号に伴うものとして適法とするのか、又は２３条１項本人同意で適法とするのか、解釈としては悩むところです。文理解釈としては２３条５項１号は「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」なので、X→Bをこれでというのはちょっと苦しいところもありますが、「委託することに伴って提供される場合」なので、AからXへの委託に伴ってBに提供されるという解釈もできなくはないでしょう。現にXからAに個人情報を戻す行為は２３条５項１号で適法と解釈するわけですし。

まあ、本件はどうせ本人同意があるので、２３条１項でもそもそも大丈夫なのであまり気にする必要はありませんが、XがAに本人同意があると偽られた場合とかを考えると、２３条１項構成よりも２３条５項１号構成の方が良かったりしますかねえ。まあ、他人に偽られた場合、行政法規だと解釈論が難しいですよね。

まあ論理的に１項がいいのか５項１号がきれいなのかは、まだ私の中で結論がでませんが、提供委託の場合は５項１号でいいと思いますね。ただ、提供を受託する場合も、委託元がきちんと個人情報保護法適法な提供行為を指示していることを確認する必要はあると思いますが。