コラム

インターネットと個人情報

業務委託を通じて委託先が保有する個人データを利用できるか

*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています(2022年5月16日追記)。

はじめに

個人データは、原則的に、本人の同意なく第三者へ提供することはできません(個人情報保護法(以下「法」第27条第1項)。ただし、委託に伴って個人データを提供すること等は、「第三者提供」にあたらず、本人の同意がなくても可能です(法第27条第5項第1号)。

近年、業務委託の名目で多様なデータが企業間を流通しています。では、委託先の保有する個人データを利用する目的の業務委託は、法第27条第5項第1号の「委託」(以下同号の委託を「委託」といいます。)に含まれるのでしょうか?

具体的には、A社(委託元)が、B社(委託先)が保有する個人データ(他社から委託に伴い提供を受けたデータ、自社データの両方がありえます)を利用する方法として、A社がB社に対して個人データを提供し、B社の保有する個人データと突合させて、より詳細・精緻なデータとして戻させることは「委託」として可能でしょうか?

委託に伴う個人データの提供

まず、法27条第5項柱書と同第1号は、次のとおり定めています(下線は筆者)。

次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

このように、委託先は、委託元と一体のもので「第三者」に該当しないために、委託先への個人データの提供は「第三者提供」にはあたらないとされています。また、委託先が委託元へ、個人データを返却する場合も同様に「第三者提供」にあたりません。

そして、委託業務の内容については、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理等が想定されていますが、特に法律上の限定はされていません。

ガイドライン及びQ&A

まず、「委託」の限界については、個人情報の保護に関する法律についてのガイドライン(通則編)では、次のように示されています。

当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない

Q&A

また、委託先において複数の会社から委託に伴って個人データの提供を受けてこれらを突合させるかたちの委託に関し、「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aでは、次のように示されています。

Q5-26-2

ガイドライン(通則編)3-4-3の「(1)委託(法第 27 条第5項第1号関係)」に、個人情報保護法上委託に該当しない場合として記載されている「委託された業務以外に当該個人データを取扱う」事例としては、どのようなものがありますか。

A5-26-2

次のような事例が考えられます。

事例2)複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合

このように、委託先において、複数の企業から提供された個人データを混ぜて(突合・統合)して取り扱う場合には、「委託」に含まれません。

これは、委託先で個人データを「混ぜ」ることで、委託元以外の業務にも用いられてしまうため、前述のとおり禁止される「委託された業務以外に当該個人データを取り扱う」ことになってしまうからと考えられます。

自社データの場合

それでは、委託先が自ら保有する個人データを利用する場合はどうでしょうか?

この点、Q&Aには次のように記載されています。

Q7-42

委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42

個人データの取扱いの委託(法第 27 条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。
したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。
事例1)顧客情報を外部事業者に委託に伴って提供し、当該外部事業者において提供を受けた顧客情報に含まれる住所について、当該外部事業者が独自に取得した住所を含む個人データと突合して誤りのある住所を修正し、当該顧客情報を委託元に戻すこと
事例2)顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと
これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。なお、事例1)については、当該外部事業者が住所を含む個人データについて、法第 27 条第2項に従って個人情報保護委員会への届出等を行っており、オプトアウトによる第三者提供が可能である場合には、あらかじめ本人の同意を取得することなく、当該顧客情報を委託元に戻すことができます。

おわりに

このように、委託先の保有する個人データを利用する目的の業務委託は、法27条第5項第1号の「委託」(以下同号の委託を「委託」といいます。)に含まれないと解されます。よって、他社の保有する個人データを利用するのであれば、個人データの第三者提供又は匿名加工情報としての提供の可能性を検討することが考えられます。

PAGE TOP