*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています。
事業者は、個人情報を第三者に提供する場合は、原則として、あらかじめ本人の同意を得る必要がありますが、事業承継の場合はどうなるのでしょうか。
事業承継の場合は、法第27条第5項第2号の「合併その他の事由による事業の承継に伴って個人データが提供される場合」にあたり、「第三者」に該当しません。
法第27条第5項 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合 二 合併その他の事由による事業の承継に伴って個人データが提供される場合 三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 |
但し、法第18条第2項では、「個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。」と定められています。
すなわち、事業者が合併、分社化、事業譲渡等により他の事業者から事業承継をすることに伴って個人情報を取得した場合であって、承継前の利用目的の達成に必要な範囲内で個人情報を取り扱う場合は目的外利用にはならず、本人の同意を得る必要はありません。
他方、承継前の利用目的の達成に必要な範囲を超えて、個人データを扱う場合はあらかじめ本人の同意を得る必要があります。但し、そのことの同意を得るためにメールを送信したり電話をかけたりすること等は目的外利用にはあたりません。
したがって、事業承継に伴って他社から取得した個人情報の自社サービスへの利用が、①当該他社が特定した利用目的の範囲内又は②当該利用目的と関連性を有すると合理的に認められる範囲を超えずに変更した後の利用目的の範囲内に含まれる場合、当該他社から取得した個人情報を自社サービスに利用することができます(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下、略)Q2-10)。
この他、事業の承継のための契約を締結するより前の交渉段階で、例えば、デューデリジェンスのために自社の個人データを相手会社へ提供する場合もあらかじめ本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、相手会社へ個人データを提供することができます。ただし、その際は当該個人データの利用目的及び取扱い方法、漏えい等が発生した場合の措置、事業継承の交渉が不調となった場合の措置等(*)、相手会社に安全管理措置を順守させるために必要な契約を締結しなければなりません(個人情報取扱事業者等に係るガイドライン3-6-3)。
*事業承継の交渉が不調となった場合には、当該交渉に関連して提供を受けた個人データを返還、消去、廃棄する必要があります(Q2-12)。
弊所ではスポットでのご相談やご依頼もお受けしておりますので、ご気軽にお問合せください。