ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

委託先における個人情報の提供の論理構成

AからBにAの個人情報を提供します。Aは自分で提供行為をせずに、Xに提供を委託します。この場合、A、そしてXは個人情報保護法上の提供行為を行っていると評価され、各種規制に服するのでしょうか。

 

流れ:    A→(Xを通して)→B

対象データ: Aの個人情報

 

この質問は、シンプルな問ですが、実は論理の勉強になるような問です。

結論的には誰も気にならないような問だと思いますが、論理的に回答するとどうなるか、以下に記していきたいと思います。

多分お読みいただいても実益はありません

 

まず、考える際に、AとXを分けて考えていきます。

 

最初にAについて考えます。

 

Aは自分の個人情報をBに提供するわけですが、こういう質問をされたら、まず「どんな個人情報ですか」と確認する必要があります。

Aの個人情報といっても、いろいろなパターンがあって、それを正確に把握する必要があります。例えば以下のようなパターンが考えられます。

1 Aが純粋な私人で、私人のBにAの個人情報を提供する場合

例)Aさんが自分の住所をお友達のBさんに教える場合

2 Aは個人事業主で、法人のBにAの個人情報を提供する場合

例)弁護士が弁護士報酬振込用の自分の口座番号を顧客Bに伝える場合

3 Aは法人で、従業員や役員の個人情報を法人Bに提供する場合

例)会社の担当者1が、担当者2の会社メールアドレスを、顧客Bに伝える場合

3のパターンの場合、Aは個人情報取扱事業者です。そして提供する個人情報は法人Aを対象とする個人情報とは言えません(個人情報の対象者は「自然人2」さんです。まあそもそも法人を対象者とする個人情報自体が存在しないともいえますが。)。つまり、個人情報取扱事業者が別人格の個人情報を別会社に提供する行為なわけであって、これは個人情報保護法23条で規制される個人データの提供行為と言えます*1

そして、個人情報保護法上の「提供」とは、自らの手で実行する必要はないので、実際の提供行為をする人がA自身ではなくX社だとしても、Aは、個人情報保護法23条で規制される個人データの提供行為を行っていると言えます。

 

対象行為は、個人情報保護法23条で規制される提供行為ではありますが、この点、「担当者2の(明示又は黙示の)同意」をおそらく得ていると思われ、仮にそうであれば、個人情報保護法23条1項でいうところの、「あらかじめ本人の同意を得」ているので適法となります。

(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

 

なお、2のパターンでも、Aは個人情報取扱事業者であります。そして2のパターンの場合、自分自身の個人情報を第三者に提供しています。この場合、個人情報保護法23条で規制される行為かどうか、これを考えるのはあまり実益がありません。なぜなら個人情報保護法23条で規制される行為であっても、自分の個人情報*2を自分の権限で提供しているわけですから、自分の同意が自分に対してあるわけであって、個人情報保護法23条1項でいうところの、「あらかじめ本人の同意を得」ているので適法となるためです。ロジックという意味では、「個人情報保護法23条適用行為だが23条1項の同意があるため適法」とするか、「本人の個人情報の提供は個人情報保護法23条適用対象外」とするか、どちらかになりますが、まあ解釈論ですよね。番号法だと本人のマイナンバーの提供も規制対象ですから、それと整合を取るという意味で、前者の個人情報保護法23条適用行為だが本人同意があって適法ととりあえずしておきますかね。

なお、1のパターンの場合、Aが個人情報取扱事業者でないと考えられます。個人情報取扱事業者であるAというのもいなくはありませんが、個人情報取扱事業者である場合でも、提供対象のデータが事業の用に供していない個人情報である場合は、個人情報保護法23条適用対象外と考えた方がきれいでしょう。文理解釈上それが個人情報取扱事業者や個人データの定義からして明白なわけではありませんが、そう解釈したほうが良いと思います。

 

次に、Xについて考えていきます。
Xは自分の意向ではなく、受託によりAの個人情報をBに提供するわけです。いわば、Aの手足のように行動するわけですが、この場合でも、Xには個人情報保護法23条が適用されるのでしょうか。

これは、適用されると考えた方が良いと考えます。

 

委託元も委託先も個人情報取扱事業者としてそれぞれ義務を負うわけです。ならば、委託元も委託先も、こういう場合は同様に個人情報保護法23条の規制に服すると考えた方が良いと思うからです。

 

委託元における個人情報保護法23条の解釈は上記の通りですが、委託先における個人情報保護法23条の解釈はどうなるでしょうか。

 

まず、委託元Aから委託先Xのところに、Aの個人情報がいったん行き、その後XからBのところにAの個人情報が行く流れになるかと思います。

前者のA→X間の提供は「委託」に伴いますので、個人情報保護法23条5項1号で適法です。これは、オーソドックスな話ですね。
後者のX→B間の提供は、これは提供委託なので、個人情報保護法23条5項1号に伴うものとして適法とするのか、又は23条1項本人同意で適法とするのか、解釈としては悩むところです。文理解釈としては23条5項1号は「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」なので、X→Bをこれでというのはちょっと苦しいところもありますが、「委託することに伴って提供される場合」なので、AからXへの委託に伴ってBに提供されるという解釈もできなくはないでしょう。現にXからAに個人情報を戻す行為は23条5項1号で適法と解釈するわけですし。

まあ、本件はどうせ本人同意があるので、23条1項でもそもそも大丈夫なのであまり気にする必要はありませんが、XがAに本人同意があると偽られた場合とかを考えると、23条1項構成よりも23条5項1号構成の方が良かったりしますかねえ。まあ、他人に偽られた場合、行政法規だと解釈論が難しいですよね。

まあ論理的に1項がいいのか5項1号がきれいなのかは、まだ私の中で結論がでませんが、提供委託の場合は5項1号でいいと思いますね。ただ、提供を受託する場合も、委託元がきちんと個人情報保護法適法な提供行為を指示していることを確認する必要はあると思いますが。

 

 

 

 

*1:話を単純化するために、提供情報は単なる「個人情報」であり、かつ「個人データ」であると仮にします

*2:この場合も話を単純化するため、個人情報でありかつ個人データであると仮にします。