個人データを提供する場合の規定とは?
個人データを誰か(第三者)へ提供*することはできるのでしょうか?
原則として、個人データを本人以外へ提供する場合は事前に本人から同意を得る必要があります。
例えばAさんの情報をBさんへ提供するには、あらかじめAさんから了承を得ておかなければなりません。
*物理的にデータを渡すこと以外にも、第三者が利用できる状態に置くことも含まれます
本人同意を必要としないケースをおさえておこう
例外的に本人の同意を得ずに提供できるケースがあります。
適用除外
以下の場合は本人の同意を得ずに個人データを提供することができるものとされています。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難なとき
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難なとき
- 国の機関もしくは地方公共団体又はその委託を受けた者が法令の事務を協力する必要がある場合で、本人の同意を得ると事務の遂行に支障を及ぼすおそれがあるとき
- 学術研究機関等が、学術研究の成果の公表又は教授のためやむを得ず個人データの提供を行うとき
- 学術研究機関等が、学術研究目的で当該個人データを提供する必要があるとき
- 第三者が学術研究機関等の場合で、第三者が当該個人データを学術研究目的で取り扱う必要があるとき
令和3年改正法で「学術研究機関等が学術研究目的で取り扱う場合」が追加されました。
”学術研究機関等”は大学その他の学術研究を目的とする機関もしくは団体又はそれらに属する者とされており、”学術研究”は新しい法則や原理の発見、分析や法理論の確立、新しい知識やその応用法の体系化、先端的な学問領域の開拓など とされています。
ただし、提供が認められるのは個人の権利利益を侵害するおそれがない場合に限ります。
第三者への提供に該当しない取扱い
以下の場合は提供元と一体として見ることができるとして提供先は第三者に該当しないものとされています。
委託
自身が主催するイベントの申込書のデータ化を第三者へ依頼するなど、個人データの取扱いに関する業務を委託する場合をいいます。委託先に依頼できるのは自社が設定した利用目的の達成に必要な範囲内に限られます。また、委託先は委託元が指示した業務以外で個人データを取り扱うことはできません。
事業承継
会社の合併や分社化、事業を譲り渡すといったケースを指します。
事業が譲り渡されたあとも、提供される前の利用目的の範囲内で利用しなければなりません。
共同利用
グループ会社で総合的なサービスを提供する場合など、複数の会社で個人データを共同で利用するケースを指します。ただし、共同で利用すること、共同利用における利用目的、共同で利用される個人データの項目、個人データの管理について責任を有する者の名称等を本人が容易に知りうる状態(ホームページでの掲載やパンフレット配布など)とする必要があります。