改正個人情報保護法における「第三者提供」と「委託」の違いとは？弁護士が解説！【２０２３年２月加筆】

改正個人情報保護法における「第三者提供」に新たな義務が

２０１７年５月３０日に改正された個人情報保護法ですが、自社の個人情報を第三者に提供する「第三者提供」の場合、 新たな義務が課せられることになりました。

事業者に、どのような義務が課されるのかというと、個人情報を「第三者に提供する側」「第三者から提供受ける側」の両事業者について、以下の義務が課されるようになりました。

1. 一定の事項を記録し、
2. それを一定期間保存する義務

YouTubeでも解説しています！

個人情報を第三者に提供する側の記録義務

個人情報を第三者に提供する側は、以下の事項を記録する必要があります。

1. 個人データを提供した年月日
2. 第三者の氏名又は名称など、第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）
3. 本人の氏名など、本人を特定するに足りる事項
4. 個人データの項目 →住所、氏名、電話番号、購入履歴など、提供される個人データの種類など

個人情報を第三者から提供を受ける側の記録義務

改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。

1. 提供者が本人の同意を得ている旨
2. 提供者の氏名又は名称
3. 提供者の住所
4. 提供者が法人である場合は、その代表者の氏名
5. 提供者による個人データ取得の経緯
6. 本人の氏名など、本人を特定するに足りる事項
7. 個人データの項目

特に、「5 提供者による個人データ取得の経緯」については、提供者から、どのように個人情報を取得したのか確認し、情報をもらう必要があります。

改正個人情報保護法施行！個人情報を第三者提供する場合の事業者の義務とは

「第三者提供」と「委託」の違いとは？

上記のように、個人情報を第三者に提供する場合に、法律上の「第三者提供」に当たると、記録義務が発生してしまい、非常に面倒な手続きが発生します。

しかし、自社の個人情報を第三者に提供する場合でも、これが「委託」に当たる場合には、上記のような記録義務はありません。

そこで、自社の個人情報を、自社以外の第三者に渡す場合に、「第三者提供」に当たるのか、「委託」に当たるのかが問題となるのです。

「第三者提供」とは

法律上の「第三者提供」とは、自社の個人情報を第三者に渡し、受け取った第三者は、その個人情報を自由に使える状態にある場合を言います。

第三者に渡した以上は、第三者側で、自由に使ってください
このような場合が、第三者提供です。

「委託」とは

第三者提供に対し「委託」とは、自社の業務の一部を第三者に代わりに行ってもらうために、個人情報を提供する場合です。

いわゆる、業務委託のイメージです。

例えば、税理士事務所や社労士事務所に対して、自社の税務上の処理や給与計算などを行ってもらうために、個人情報を提供する場合がこれに当たります。

「委託」に当たった場合の法的規制とは

上記のうち、「委託」に当たった場合には、「第三者提供」のような個人情報の記録義務は発生しません。しかし「委託」に当たった場合に、何の法的問題もないかというと、そんなことはありません.

個人情報保護法22条においては、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」 つまり、委託元は、委託先を監督する必要があるのです。

では「監督」とは具体的に何を行うのでしょうか？

適切な委託先の選定

これは、個人情報に関する委託先の安全管理措置が、法令に則ったものかを確認する必要があります。

委託元としては、委託先に、法令を遵守している事業者を選ばなければならないのです。

委託先における個人データ取扱状況の把握

委託先における委託された個人データの取扱状況を委託元が合理的に把握することが求められています。

「第三者提供」と「委託」 それぞれの義務を果たすことが重要

上記のように「第三者提供」に当たるにしろ「委託」に当たるにしろ、個人情報を渡す側は、個人情報保護法上の義務を負います。 事業者は、この法的義務を、しっかりと守るようにしましょう。

Tweet