公的機関における個人情報保護法のお話です。
1.委託先へ個人情報を提供できる
個人情報保護法上、公的機関は委託先へ委託に必要な範囲内であれば個人情報を提供することができます。例えば国税庁は国税賦課徴収のためのITシステムを保有しており、この中に個人情報が格納されていますが、このITシステムの保守・運用を委託して、委託先に保守・運用に必要な範囲内で個人情報を取り扱わせることができます。
これは民間でも同様ですね。銀行も証券会社も顧客情報管理等のためのITシステムを保有しており、この中に個人情報が格納されていますが、このITシステムの保守・運用を委託して、委託先に保守・運用に必要な範囲内で個人情報を取り扱わせることができます。
2.委託先へ提供できる法的根拠
民間の場合は、委託先への提供は第三者提供に当たらないとして個人情報保護法に明示の規定があります(個人情報保護法27条5項1号)。
これに対し、公的機関の場合、個人情報保護法上、委託先への提供について明示の規定がないのです。これはなぜかというと、公的機関向け個人情報保護法は元々は別法だったからで、でもその別法を元に民間向け個人情報保護法もできているのに、その際に用語の統一とか規定ぶりの合わせとかをしなかったのが良くないと思います。
公的機関の場合、明示の規定はありませんが、通常は個人情報の「目的内提供」として(令和2年8月 個人情報保護制度の見直しに関するタスクフォース 「個人情報保護制度の見直しに向けた中間整理」32頁)適法であると考えられています。
例えば、地方税の賦課徴収に必要なシステム運用・業務補助を外部委託する場合は、地方税の賦課徴収という目的のための提供なので、個人情報保護法69条1項で制限される目的外提供に該当せず、目的内提供として適法であると解釈できます。
3.では目的外利用時の委託先への提供の法的根拠は?
上記のように目的内利用に伴う委託先提供は、目的内提供として適法に可能であると言えます。
他方で、公的機関は、目的内利用のみ実施しているわけではなくて、目的外利用も適法に実施できるし実際に実施しているわけです。これに伴う委託、すなわち公的機関内部での目的外利用に伴う委託については、実は、個人情報保護法のどの条項を根拠として委託先に提供できるか定かではありません。
ただ、公的機関内部での目的外利用が適法に行える場合に、委託先に個人情報を提供できないというのは実務とも乖離が見られ、また委託先への提供は個人情報保護法上予定されている(66条2項1号・67条参照)ことから、公的機関内部での目的外利用に伴う委託での個人情報提供も適法であると考えます。
ただ、どの条項を根拠とするかが不明瞭です。
考え方としては3パターンあるでしょう。
1)個人情報保護法69条2項2号根拠
公的機関内部で目的外利用をまずはするわけで、それの根拠が個人情報保護法69条2項2号になります。これに伴う委託なので、で、委託の場合はそもそも責任は公的機関に残りますから、だから、69条2項2号は目的外利用の規定ですが、それを根拠にして目的外利用に伴う委託も当然できるという解釈論を立てることができるでしょう。私としてはこれが一番いいかなと思います。
(利用及び提供の制限)第六十九条 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2)個人情報保護法69条2項4号根拠
そのほかに、個人情報保護法69条2項4号「特別の理由」を根拠とするという考え方もあるでしょう。筋論で言うと1の方がきれいな解釈だと私は思いますが、頭が固い人だったり、文理解釈を重視する人だったりすると1が受け入れられず、2の方が素直にとられる可能性もあります。ただ、「特別の理由」が膨らむのはあまりよくないので、私としては1が良いとは思いますが。
まあ、公的機関自身も69条2項2号で目的外利用できるので、それに伴う委託は69条2項4号で可能と言えば、「特別の理由」もそこまで膨らむものではないですかね。
(利用及び提供の制限)第六十九条 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
3)法律上規定されていないが当然できる
最後の論法。内閣法制局が大好きな言いぶりのやつですね。「当たり前なので法律上書く必要はない」論です。誰にとって当たり前なのかという疑問をいつも持ちますが、まあ根拠としては当然すぎて法律に明記がなくても当然できるという言い方もできなくはありません。
結論としては、目的外利用に伴う委託が違法ということにはならないとは思いますが、実は法的根拠は明示されていないよというお話でした。
