はじめに
個人情報保護法は「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」(27条第1項柱書)と定め、個人情報を第三者に提供する場合、原則として、あらかじめ本人の同意を得る必要があるとしています。
本コラムでは、この本人の同意の要件について、個人情報の保護に関する法律についてのガイドライン(通則編)(以下、「ガイドライン」といいます。)や「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A(以下、「Q&A」といいます。)に沿ってみていきます。
「あらかじめ」とは?
同意はあらかじめ得る必要があります。
「あらかじめ」とは、個人データが第三者へ提供される時点より前という意味です(Q&A Q7-6)。
具体的な時期については限定されていないため、個人情報を取得する際に、同時に、第三者提供の同意を得ることも可能です(Q&A Q7-7)。
第三者提供の都度得る必要ある?
この同意は、第三者提供の都度得る必要はありません。
例えば、予測される第三者提供について、包括的に同意を得ておくことも可能です(Q&A Q7-8)。
どこまでの情報を明示する必要ある?
また、同意を得るに当たり、提供先を個別に明示したり、提供先の氏名又は名称を明示する必要はありません(Q&A Q7-9)。
本人が同意をするか否かの判断を行うために必要と考えられる合理的かつ適切な情報を示すことで足ります。
但し、想定される提供先の範囲や属性を示すことが望ましいとされています。
同意を取得する方法は?
本人からの同意を得る方法として、ガイドライン(2-16「本人の同意」)には以下があげられています。
【本人の同意を得ている事例】 事例1)本人からの同意する旨の口頭による意思表示 事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領 事例3)本人からの同意する旨のメールの受信 事例4)本人による同意する旨の確認欄へのチェック 事例5)本人による同意する旨のホームページ上のボタンのクリック 事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力 |
本人に対して、一定期間内に回答がない場合には同意したものとみなす旨のメールを送り、その期間を経過した場合等は、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によるとはいえず、一定期間回答がなかったことのみをもって一律に本人の同意を得たとすることはできませんので、注意が必要です(Q1-60)。
「明示の同意」以外に「黙示の同意」が認められるか否かについては、個別の事案ごとに、具体的に判断することになります(Q&A Q1-61)。
おわりに
このように、第三者提供の際の「本人の同意」については、様々な論点があります。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。