※筆者の頭の体操のための設問です。
個人データの提供には本人同意が原則として必要ですが、委託先への提供には本人同意は不要です(個人情報保護法27条5項1号)。これはなぜなら委託先は委託元の手足であって、委託元が監督義務を負う(個人情報保護法25条)ため*1と考えられます。
では、保険会社への提供はどうでしょうか。
結論から書くと、非常に法律構成が悩ましくなります。
たとえば、会社Aが社用車に対し法人向け自動車保険を契約していたとします。社用車で事故があり、社員Bの氏名等の情報と、被害者Cの氏名やけがの情報を保険会社に伝えないと、保険請求ができないと考えられます*2。この場合に、被害者Cが「自分の個人データを会社Aや社員Bが保険会社に提供するのには一切同意しません」と言った場合にどうなるでしょうか。
個人データの提供には法的根拠が必要です。
「被害者Cが病院にかかって負傷と診断された」という情報は、被害者Cの個人情報*3かつ要配慮個人情報に該当します。
要配慮個人情報は、本人同意がない場合には以下に該当するときにのみ提供できるとされています。なお、厳密にいうと以下は要配慮個人情報を保険会社が取得できる場合になります。
- 法令に基づく場合
→ 保険請求はこれに当たらないでしょう - 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
→ 「人」には法人も含みますので、A社の財産の保護のために必要がある場合であって本人(=C)の同意を得ることが困難であるときに該当するという構成もできなくはありませんが、同意拒否の場合も同意困難に含まれるのかという論点と、A社の財産保護のために必要と言い切れるのかという論点があります。 - 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
→ 保険請求はこれに当たらないでしょう - 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
→ 保険請求はこれに当たらないでしょう - 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
→ 保険請求はこれに当たらないでしょう - 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
→ 保険請求はこれに当たらないでしょう - 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
→ 本人やここで列挙されている者がSNS等で公開している情報を提供する場合はこれを法的根拠にできますが、そうでないと無理でしょう - その他前各号に掲げる場合に準ずるものとして政令で定める場合
(政令第9条1号)①本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
→ 現場撮影写真などはこれを法的根拠にできるでしょうか。誰が撮影するのかという論点もありますが。
(政令第9条2号)②法第27条第5項各号(法第41条第6項の規定により読み替えて適用する場合及び法第42条第2項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
→ 委託はこれに該当します。
上記の通り、本人同意がないときには、保険請求のために保険会社に要配慮個人情報を提供するためには、
- 保険会社がA社の委託といえるか、又は
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
のどちらかに該当する必要があります。
委託について検討すると、保険会社とA社は委託契約ではなく保険契約を締結しているものと思われますが、一般に契約実務上の委託と個人情報保護法の委託とはやや異なり、個人情報保護法の委託とは「業務委託」ではなく、「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する」ことをいいます。委託対象が業務ではなく個人情報の取扱いなのです。
〇個人情報保護法27条5項1号
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
〇ガイドライン通則編3-4-4(1)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4
「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。
もっとも利用目的の範囲内である必要があります。この場合の利用目的は何かは悩ましいですが、今回は仮に「配送に付随する業務」に該当するとしましょう。配送中の事故対応は配送に付随する業務に当たり得ると思われます。事故対応に必要な範囲内で保険会社に個人情報の取扱いを委託するので、個人情報保護法27条5項1号・20条2項8号に当たり本人同意なく提供できるという考え方も採用し得ないものではないでしょう。
ただ、保険会社を委託と捉える考え方は実務慣行として一般的かというと悩ましいところもあり、かつ委託に当たると委託先の監督義務が発生します。ですが、個人情報保護法27条5項1号の分離解釈上は、保険会社も委託と捉えられるとは思います。
次に財産保護について検討します。
既に記載した通り、「人」には法人も含みますので、A社の財産の保護のために必要がある場合であって本人(=C)の同意を得ることが困難であるときに該当するという構成もできなくはありません。
同意拒否の場合も同意困難に含まれるのかという論点はありますが、これは不当な場合(違法・不正な目的で提供先において利用される場合や、個人情報の適正な取扱いが行われないと合理的に考えられる場合など)を除き、含まれるという解釈になりそうです。なぜなら、「生命・身体・財産保護」という要件によって個人データ提供の合理的必要性が類型的に認められると考えられること、また生命危機などの場合に本人が同意拒否したとしても本人の血液型などを第三者に提供する行為は社会的に許容されるのではないかと考えられることが理由として挙げられると思います。
保険請求が、A社の財産保護のために必要と言えるのかという論点もありますが、これもA社はリスクヘッジのために保険契約を締結しているのに保険請求できないと財産が減少する可能性があり、財産保護のために必要と言えるのではないかと考えられます。
委託の方が個人情報保護法27条5項1号の文理からはすっきりするようにも思いますが、実務的な委託のイメージと乖離があることと委託先監督をA社も保険会社も嫌がりそうですし、規制当局側としても委託が無制限に広がるのは嫌そうであえてイレギュラー枠の財産保護で構成したそうな気がするので、実務を考えた解釈としては財産保護で構成するのかなと思いました。
あとの解釈としては、黙示の同意構成というのもあります。技巧的過ぎるかとは思いますが、保険請求することが社会通念上本人にも理解されており、本人も拒否していないので、黙示の同意があるという構成です。でもこの場合、黙示の同意を明示の拒否が上書きして、拒否に該当し提供不可となりそうですが。
本人同意なく保険会社に提供している例が相当あるのではないかとも思われなくもありません。かといって本人同意が取れない場合も考えられますし、本人に拒否されたら保険請求できないとなるのも不合理と言えば不合理であり、価値判断から考えると、本人が拒否できるのは、個人情報の取扱いにリスクがある場合等の不当な場合に限定されるのではないかとも思います。印刷会社やITベンダーなど、通常の委託先であれば本人同意なく提供できるのに、保険会社には本人同意がないと提供できないというのも不合理ですし。
ただ、解釈論としては確立したものがあるわけではなく、構成としては、委託、財産保護(、黙示の同意)が考えられると言えると思います。
