はじめに
個人データは、原則として第三者へ提供することはできません(個情法第23条1項)。もっとも、その例外の一つとして、個人データの共同利用があります(同条5項3号)。ただし、この「共同利用」のルールについては、必ずしも十分に認知されているとは限りません。
また、この「共同利用」のルールについては、2022年4月施行の改正法(改正法)により若干の変更がありましたので、こちらも確認しておく必要があります。
これまでの「共同利用」ルール
個人データを「共同利用」をするには、次の5つの事項について、あらかじめ、本人に通知し、又は「本人が容易に知り得る状態」におく必要があります。
1)個人データを共同利用すること
2)共同して利用される個人データの項目
3)共同して利用する者の範囲
4)利用する者の利用目的
5)当該個人データの管理について責任を有する者の氏名又は名称
「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいいます。一般的には、ホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)にプライバシーポリシーの一内容として掲載しておくことが考えられます。
この他、例えば、3)共同して利用する者の範囲については、「必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。具体的には、「当社の子会社及び関連会社」といった表記も可能であるが、その場合、当該子会社及び関連会社の全てがホームページ上で公表されていることを要すると解されています。
改正法による変更
改正法では、上記の5つの事項に加えて以下の2つの事項も、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いていることが必要となります。
・共同利用される個人データの管理責任者の住所
・共同利用される個人データの管理責任者の法人代表者の氏名
これらは、従前、多くのプライバシーポリシーには記載がなかったため、改正法の施行に伴い追記しておく必要があります。
おわりに
このように、個人データの共同利用ルールについてあらためて整理するとともに、令和4年4月施行の改正法に伴う対応について説明いたしました。これまで共同利用関連の条項が未整理だったり、改正対応がまだの事業者においては、この機会にプライバシーポリシーを見直すことが望ましいといえます。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。