個人情報保護ガイドラインの改訂にみる個人情報の「委託」になるための注意点

個人情報保護法のガイドラインの改訂

改正個人情報保護法が 2 0 1 7年 5 月 30 日に施行されましたが、その後、2018年7月20日にＱ＆Ａが改訂され、その後、同年 12月25日にもガイドラインおよびＱ＆Ａの改訂がなされました。

このガイドラインの改訂は、個人情報の委託、共同利用および保有個人データの開示請求に関するものが改訂されました。

今回、弊社でも問い合わせの多い「個人情報の委託」について、ガイドラインの改訂の内容も合わせて、解説していきます。

個人情報の「委託」についてですが、なぜ個人情報の「委託」が重要なのでしょうか。

これは、個人情報保護法において、個人情報を第三者に提供する場合には、本人の同意を得る必要があります。

また、個人情報を提供した方も、された方も、一定の事項を記録しておく義務が生じます。

しかし、個人情報の取扱いに関する業務を委託することに伴い、当該個人情報が提供された場合には、第三者提供には該当しないとされているのです。

よって「委託」に該当する場合には、本人の同意を得ることなく、個人情報を委託先に提供することができるのです。

ガイドラインの改訂では、新たに「委託された業務の範囲内でのみ」という文言が追記され、委託された業務以外に当該個人データを取り扱うことはできないとされました。

そして、どういう場合が「委託された業務の範囲内」なのかについて、ガイドラインでは例示がされています。

＜事例１＞

個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合

自社の営業活動のために、個人情報を取得するとなると、これは、明らかに「委託」の範囲を超えています。

この場合には、「委託」ではなく、「第三者提供」になり、委託元は、自社の個人情報について、各個人に対して、第三者提供の同意を取る必要があります。

また、委託元も委託先も、第三者提供に伴う記録義務が必要になります。

＜事例２＞

複数の個人情報取扱事業者から個人情報の取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合

複数の委託元から、個人情報の提供を受けた場合において、複数の委託元から提供を受けた個人情報を、各委託元ごとに保管せず、一緒にしてしまっているケースです。

例えば、委託元Ａ社から個人情報の「委託」に基づき、個人情報の提供を受けた場合には、委託先Ｂ社は、委託元Ａ社からの当該業務についてのみ、個人情報を利用することができ、他の委託元Ｃ社、Ｄ社の個人情報と一緒に、個人情報の分析、データベースなどの作成はできません。

また、委託元Ａ社が、Ｂ社に対して、Ａ社の個人情報をＢ社が持っている他の個人情報を合わせて、個人情報の分析、データベースの作成をすることを委託した場合には、個人情報保護法上の「委託」の範囲を超えることになり、認められません。

そもそも、個人情報保護法上の「委託」とは、委託元の業務の一部を、委託先に任せるために、個人情報を提供するものです。

委託元が、元々できない行為を、委託先に任せるのは「委託」ではありません。

契約上「業務委託契約書」という形で、契約していれば、問題ないということではありませんので、十分に注意しましょう。

個人情報の委託については、「第三者提供」の規定を受けることなく行えるので、事業者にとって非常に便利です。

しかし、その分、ルールが明確に決まっていますので、その点は、しっかり確認するようにしましょう！