個人情報保護法改正もあり、個人データの第三者提供について新たに追加や更新された点がありました。今回は個人情報取扱事業者が守るべき法令のうちの１つである「第三者提供に関するルール」について改正点も含め、詳しく解説します。

第三者提供に関する大原則（個人情報保護法第２７条第１項）

自己の個人情報を知らないうちに利用されることを防止するため、個人情報保護法第２７条第１項では、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはいけないとしています。具体的には、事業者が第三者に個人データの提供をする前に、その情報提供について本人が「認める」とする意思表示が必要ということです。
しかし、例外なく制限すると情報共有に困難をきたす場合もあるため、これまでも警察や裁判所、税務署などの公的機関から法令に則った要請を受けた場合などには同意は不要でした。また、これら以外にもあらかじめ本人の同意を得ることなく第三者提供が認められる例外にあたる「オプトアウト」という方法があります。
以下では、オプトアウトによる第三者提供のポイントをみていきます。

個人データを第三者提供するには個人情報保護委員会に届け出が必要

「オプトアウト」により個人データを第三者に提供する場合、事業者は一定の事項を個人情報保護委員会へ提出することが義務付けられています。個人情報保護委員会は、届け出があった場合、その内容を公表します。

提供・受け取り記録は一部例外を除き３年間の保存義務がある

保存義務についても規定があります。個人データを第三者に提供したときは、以下の４つが記録を残しておくべき事項として規定されています。文書・電磁的記録・マイクロフィルムのいずれかにより以下の内容を記録しましょう。

①第三者の氏名等（不特定かつ多数の者に対して提供したときは、その旨）
②本人の氏名等
③提供した個人データの項目
④当該個人データを提供した日

また、第三者提供を受けた側にも保存義務が課せられています。情報提供を受けた場合にも速やかに「第三者提供を受けたこと」に関する記録を作成し、該当データの利用が終了した後でも削除してしまわないよう、保存期間が過ぎるまで管理しておきましょう。

本人からの申し出により提供を停止する義務がある

オプトアウトにより第三者提供をする場合、本人から第三者提供の停止の要求を受けたときには、速やかに第三者提供を停止しなければなりません。また、事業者が当該保有個人データを利用する必要がなくなったときや、本人の権利や正当な利益が害され得る場合などには、オプトアウトによる第三者提供でなくても、第三者提供の停止が必要なケースもあります。「本人が停止を請求する方法」をあらかじめプライバシーポリシーなどで公表しておくなどの対策が有効です。また、どこにどのデータが含まれているのかを把握しておかなければ、提供停止は困難ですので、社内の個人データ管理体制を整えておくことが大切になります。

オプトアウトって何？

ここまでにオプトアウトという言葉が出てきましたが、オプトアウトとは、事前に個人情報保護委員会に届け出ることで本人が停止を申し出ない限り、常に第三者提供へ同意したとみなすという意味の言葉です。オプトアウトは実務上非常に便利なルールですが、提供できるデータに制限があります。すでに禁止されている「要配慮個人情報」に加え、「オプトアウトで得た個人データ」「不正取得した個人データ」の３点に注意しましょう。

オプトアウトに関する改正

個人情報保護法の改正を経て、「オプトアウト」の方法を使えない個人データが増えました。

オプトアウトの方法を使えない個人データが増えた

次のいずれかに該当する個人データは、オプトアウトの方法で第三者提供することはできません。
①要配慮個人情報
②不正な手段で取得された個人データ
③オプトアウトの方法による第三者提供の方法によって取得した個人データ
④上記②または③を複製（コピー）したり加工したりしたもの

オプトアウトによる第三者提供をする場合の通知・公表・届出事項が拡大

オプトアウトの方法による第三者提供をする場合の通知・公表・届出事項についても拡大され、事業者が個人データをオプトアウトの方法で第三者に提供するときは、次の２つのことを行う必要があります。
①プライバシーポリシーなどに必要な事項を記載して公表する
②個人情報保護委員会に対して事前に届出をする（個人情報保護法第２７条第２項）。

オプトアウトの方法による第三者提供が認められるには（個人情報保護法第２７条第２項）

オプトアウトの方法による第三者提供が認められるには、本人が求めた場合には個人データの第三者への提供を停止することとしている場合であって、一定の事項をあらかじめ本人に通知又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届けることが必要になります。様々な改正もありますが、ここで中身を整理し、オプトアウトの方法による第三者提供が認められるために必要な要件を詳細に見ていきましょう。

「一定の事項」

　オプトアウトの方法による第三者提供をするために、あらかじめ本人に通知又は容易に知り得る状態にしておくべき「一定の事項」とは、次の９つになります。
①第三者への提供を行う事業者の氏名等
②第三者への提供を利用目的とすること
③第三者に提供される個人データの項目
④第三者に提供される個人データの取得方法
⑤第三者への提供の方法
⑥本人が求めた場合は、個人データの第三者提供への提供を停止する旨
⑦本人の求めを受け付ける方法
⑧提供される個人データの更新の方法
⑨届出に係る個人データの第三者提供を開始する予定日

本人に通知又は本人が容易に知り得る状態に置いておくこと

「容易に知り得る状態に置く」というのは、例えば、ウェブ画面上のトップページに上記事項の記載があるページへのリンクを貼る方法やメルマガ等の定期刊行物で定期的に掲載することです。

本人が求めてきた場合に個人データの第三者への提供を停止すること

実際に本人から求めがあった場合に第三者提供を停止することですね。

目的外利用になる場合に要注意！

オプトアウトによる第三者への情報提供は便利ですが、この制度を利用する場合には重要な注意点があります。そもそも、「個人情報取扱事業者」が個人情報を利用するには、利用目的を特定しなければなりません。その特定された利用目的に第三者への提供が含まれていない場合には、目的外利用となってしまい、オプトアウトによる第三者の提供はできないということになるため、気を付けましょう。

「第三者」にあたらない人たち！？（個人情報保護法第２７条第５項）

ここまでは、「第三者」提供について書いてきましたが、個人情報保護法第２７条第５項は、そもそも「第三者」への提供にあたらないケースを規定しています。そもそも「第三者」への提供にあたらないケースでは、本人の同意も、オプトアウトによる提供のルールも必要ないということになります。

委託（個人情報保護法第２７条５項第１号）

事業者が利用目的の達成に必要な範囲で、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合は、当該個人データの提供を受ける委託先は「第三者」に該当しません。

事業の承継（個人情報保護法第２７条第５項第２号）

合併・分社化・事業譲渡等により事業が承継されることに伴い、当該事業に係る個人情報が移転される場合には、当該提供先は「第三者」に該当しません。ただし、事業の承継後も、事業の承継により提供される前の利用目的の範囲内で利用しなければなりません。

共同利用（個人情報保護法第２７条第５項第３号）

特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、一定の事項をあらかじめ本人に通知又は容易に知りえる状態に置いているときには、その特定の者は「第三者」に該当しません。
企業のポイント等を通じた連携サービスを提供する提携企業間で、取得時の利用目的の範囲内で個人データを共同して利用する場合等がこのケースにあたります。

第三者提供する場合の取扱いのルール（トレーサビリティ）

トレーサビリティ（個人データが企業から他の企業に提供された場合に、その流通経路を追跡できる状態のことをいいます。）を確保するために、個人データを提供する側と受け取る側のそれぞれに、個人データの取扱いに関する義務を課しています。
具体的には、個人情報の提供元には、本人の氏名等、個人データの項目、提供先の氏名等について記録義務が課せられています。一方、提供先には、記録義務に加えて、提供元の氏名や個人データの取得経緯等について確認義務が課せられています。これにより、仮に個人情報が流出してしまった場合でも、個人情報の流出経路を把握することができるのです。

違反した場合のペナルティ

個人データの取扱いルールに違反してしまった事業者のペナルティはどうなっているのでしょうか。
個人データの取扱いに関してルール違反をしてしまい、さらに個人情報保護委員会からの命令にも違反した場合には、
当該違反行為をした者に対して：最大１年の懲役または最大１００万円の罰金
会社に対して：最大１億円の罰金
が課せられる可能性があります。
また、法律による刑事罰とは別に、個人データの流出によって被害者が出てしまった場合、被害者から損害賠償請求を提起されるリスクや、謝罪金の支払いまで含めると莫大なコストが発生するリスクがあります。そして自社の社会的信用を傷つけてしまうことが何よりも厳しいペナルティではないでしょうか。

まとめ

個人データの取り扱いや管理には法令順守の上、ＥＣサイトとして顧客情報の管理対策を速やかに実現することが大切です。第三者から個人データの授受が発生する場合は、その個人データが、改正後の個人情報保護法でオプトアウトの禁止されたものでないか、確認するようにしましょう。
個別のご相談はお気軽にお問い合わせください。

弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。

執筆者：弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所

※本稿の記載内容は、2023年2月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。