ブログ

カテゴリ

アーカイブ

【個人情報保護法第23条第5項第3号・附則第5条】第三者に該当しないもの(共同利用) 2017/01/03

社会保険労務士松本力事務所HPトップ

メディア実績

講演・企業研修実績(抜粋)

法令解説ブログバックナンバーリスト(個人情報保護法・マイナンバー法・ストレスチェック制度・議員秘書規則・女性活躍推進法)

FB公式ページ

FB個人アカウント松本祐徳

執筆・寄稿・取材(宝島社・毎日新聞社・日本経済新聞社・小学館・Yahoo!ニュース)

著書『図解とQ&Aですっきりわかるマイナンバーのしくみ』(宝島社)=33,000部=トーハン調べ2015/11/4週間ベストセラー単行本ビジネス書6位
共著『入門 マイナンバーの落とし穴ー日本一わかりやすい解説』(毎日新聞出版)=7,000部
20151214_105901
20151017_151134

講演

20160325_165000

第3号 共同利用

共同利用を行うことがある事例【平成28年厚労省・経産省告示第2号】

グループ企業で総合的なサービスを提供するために取得時の利用目的(第15条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合

 

個人データを特定の者との間で共同して利用する場合であって、以下の①から④までの情報をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、共同して利用することを明らかにしているときには、当該個人データの提供を受ける事業者は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しない。また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、既に取得している事業者が保護法第15条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。

また、事業者が共同利用を実施する場合には、共同利用者における責任等を明確にし、円滑に実施する観点から、①から④までの情報のほか、⑤イからヘまでの事項について、あらかじめ取り決めておくことが望ましい。

 

① 共同して利用される個人データの項目

個人データの項目について、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。(例:「氏名、住所、電話番号」「氏名、商品購入履歴」)

 

② 共同して利用する者の範囲

「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することである。したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある(例:本人がどの事業者まで利用されるか判断できる程度に明確な形で示された「提携基準」及び「最新の共同利用者のリスト」等を、共同利用者の全員が、本人が容易に知り得る状態に置いているとき)

なお、当該範囲が明確である限りにおいては、事業者の名称等を個別にすべて列挙する必要がない場合もある。

 

③ 利用する者の利用目的

共同して利用する個人データについて、その取得時の利用目的をすべて、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。

利用目的が個人データの項目によって異なる場合には区別して記載することが望ましい。

 

④ 当該個人データの管理について責任を有する者の氏名又は名称

開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称について、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。

ここでいう「責任を有する者」とは、共同して利用するすべての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。

 

⑤ 上記①から④までの事項のほかに取り決めておくことが望ましい事項

イ 共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組)

ロ 各共同利用者の個人情報取扱責任者、問い合わせ担当者及び連絡先

ハ 共同利用する個人データの取扱いに関する事項

(1) 個人データの漏えい等防止に関する事項

(2) 目的外の加工、利用、複写、複製等の禁止

(3) 共同利用終了後のデータの返還、消去、廃棄に関する事項

ニ 共同利用する個人データの取扱いに関する取決が遵守されなかった場合の措置

ホ 共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項

へ 共同利用を終了する際の手続

 

共同利用の対象となる個人データの提供については、必ずしもすべての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。

個人データの管理について責任を有する者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人データを正確かつ最新の内容に保つよう努めなければならない。

なお、共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託先の監督義務を免れるわけでもない。

例えば、グループ企業でイベントを開催する場合において、各子会社から親会社(幹事会社)に顧客情報を集めた上で展示会の案内を発送するときには共同利用となるが、自社でイベントを開催する場合において、案内状を発送するために発送代行事業者に顧客情報を提供するときには、共同利用者の範囲に含まれるグループ企業内の事業者への提供であったとしても、委託であって、共同利用とはならない。

 

(通知に関する経過措置)

保護法附則第5条

第23条第5項第3号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなす。