*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています。
事業者は、個人情報を第三者に提供する場合は、原則として、あらかじめ本人の同意を得る必要があります。そして、親子会社といえども、法人格が異なれば第三者となります。しかし、経済的には一体ともいえる親子会社間での顧客データの流通に際し、都度本人の同意を得ることは煩雑となります。よって、このような親子会社間(/グループ会社間)で顧客に関するデータベースを共有する場合には「共同利用」の手続きをとることが有効です。
「共同利用」について、個人情報取扱事業者等に係るガイドライン(以下、「ガイドライン」といいます。)3-6-3に沿ってみていきます。
| 法第27条第5項第3号 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 |
このように、「共同利用」の要件に該当する場合は、提供先は「第三者」に該当しません。
すなわち、特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、次の①から⑤までの情報を、提供に当たりあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しないということです(ガイドライン3-6-3)。
共同利用の際に本人に通知等しなければならない決定事項は以下の通りです。
| 1.共同利用をする旨 2.共同して利用される個人データの項目 ex. 「氏名、住所、電話番号、年齢」または「氏名、商品購入履歴」 3.共同して利用する者の範囲 4.利用する者の利用目的 5.当該個人データの管理について責任を有する者の氏名又は名称及び住所(法人の場合はその代表者の氏名) |
共同利用に該当する事例としてはガイドラインに以下があげられています。
| 事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的(法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合 事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合 事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合 |
なお、共同利用か委託かは、個人データの取扱いの形態によって判断されるものであり、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではありません。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。
お問い合わせフォームはこちら
