1. TOP
  2. media
  3. コラム
  4. 個人情報の管理を業務委託する際のポイント!第三者提供の注意点

個人情報の管理を業務委託する際のポイント!第三者提供の注意点

個人情報の管理を業務委託する際のポイント!第三者提供の注意点

  • このエントリーをはてなブックマークに追加
個人情報の管理を業務委託する際のポイント!第三者提供の注意点

個人情報を扱う業務は、セキュリティ面での管理が非常に重要です。

2022年には個人情報の漏えい・紛失事故件数が2012年以降で2年連続最多を記録するなど、情報漏えいの問題は深刻化しています。これに伴い、社内ルールがより厳格化された企業もあるでしょう。お客様からの信頼を得るためにも、個人情報の取扱いに関する知識を身につけ、確実に対応しなければなりません。

そこで本記事では、個人情報の定義から、第三者提供、委託にあたってのポイントについてまでを解説します。

 

個人情報・個人データとは?

個人情報と個人データの定義について改めて確認しましょう。

個人情報とは?

個人情報の保護に関する法律(個人情報保護法)では、「個人情報」が以下のように定義されています。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの


分かりやすくまとめると、

・生存する個人に関する情報で、その情報に含まれる氏名・年齢・生年月日などによって特定の個人を識別できる情報
・生存する個人に関する情報で、他の情報と簡単に照合することができ、それによって特定の個人を識別できる情報
・個人識別符号が含まれるもの

これらが「個人情報」に該当します。 例としてあげられるのは、氏名、住所、電話番号、メールアドレスなどです。 電話番号は、単体で特定の個人を識別することはできない情報ですが、氏名などと組み合わせることで特定の個人を識別できます。よって、個人情報に該当する場合があります。

他には番号、記号、符号などにより特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といいます。具体的には次のようなものがあげられます。

・指紋、DNA、顔、目の虹彩、手指の静脈など身体の特徴データ
・マイナンバー、免許証、パスポートなどに対して個々人に割り当てられる公的な番号

基礎年金番号や旅券番号も「個人識別符号」に該当します。

個人データとは?

個人情報の保護に関する法律(個人情報保護法)で、「個人データ」は以下のように定義されています。

第十六条
3 「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

「個人情報データベース等」とは、特定の個人に関する情報を検索することができるよう体系的に構成された、個人情報を含む情報の集合物です。 コンピュータ、紙など媒体を問わず、個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索できるもの(ただし、コンピュータ以外の媒体においては政令で定めるもの)が、「個人情報データベース等」にあたります。

個人情報保護法とマイナンバー法

以上で確認した個人情報を扱ううえでとても重要なのが、個人情報保護法とマイナンバー法の理解です。

個人情報保護法

2005年4月から全面施行された、個人の権利と利益を保護するための法律で、正式名称は「個人情報の保護に関する法律」です。

この法律が施行された背景には、急速に情報化が進展し個人情報の侵害のリスクが高まったことに加え、国際的な法制度の動向などがあげられます。また、個人情報保護法は時代に合わせた改正・施行がされています。 個人情報を取扱う業務に携わっている担当者は、最新情報の確認が必要です。

マイナンバー法

2015年に施行された、行政の効率化や国民の利便性の向上を目的として導入された個人情報確認のための法律です。 正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」です。

マイナンバーを利用する際は、限定的に定められた事務の範囲で具体的な利用目的を特定しなければならず、それ以外の利用は原則として認められていません。 マイナンバーの利用範囲は主として以下の3つです。

・社会保障
・税
・災害対策

健康保険証や運転免許証がマイナンバーと一体化することにより、さらに普及が進んでいくことが予想されます。正しい利用範囲を認識したうえで、取扱いには注意しましょう。

第三者提供とは

個人情報における第三者提供とは、個人データを直接収集し保有している事業者が、それ以外の者(第三者)に提供することです。 事業者が委託先の事業者へ勝手に個人データを受け渡しすることは認められません。所定のルールを遵守しなければ、法令違反となりますので十分に注意しましょう。

第三者提供する場合の取扱いルール

第三者提供は、原則として本人の同意が必要です。 個人情報保護法では、以下のように定められています。

第二十七条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(後略)

個人データを提供する前に本人の同意を得ることを「オプトイン」といいます。 事業者側はどのような目的・範囲でデータを利用するのか、あらかじめユーザーに説明しなければなりません。 ただし、同じ会社の別部署に個人情報を提供する場合、第三者提供にはあたりません。

同意がなくても第三者提供ができる場合

以上の例外として、本人の同意なしに第三者提供ができる場合があります。 大きく4つに分けて解説します。

警察、税務署など公的機関より要請があった場合

警察から捜査のために情報を提供してほしいと要請された場合、本人の同意なく個人情報を開示できます。 他に、裁判所の文書提出命令に従って文書提出する場合や、税務署長に対して支払調書を提出する場合なども本人の同意を得る必要はありません。

第二十七条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合 (中略)
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

人の生命・身体または財産の保護の必要がある場合

事故や災害時に巻き込まれたときなど、生命・身体または財産の保護に必要がある場合であって本人の同意を得ることが困難であるときは、個人情報を第三者提供できます。

例えば、本人が事故に遭遇して意識不明となっている場合、生年月日、血液型、病歴などの情報を医師や看護師に提供してよいことになります。

第二十七条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。


二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

児童の健全な育成または公衆衛生の向上で特に必要がある場合

児童への虐待が疑われる場合、その事実を本人や保護者の同意なく警察や学校などに情報提供できます。 また同様に、虐待されている児童の情報も、児童相談所や保護施設などに提供可能です。

第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

「オプトアウト」の方法を利用する場合

「オプトアウト」の方法を利用すれば、第三者提供することができます。 「オプトアウト」とは、本人の事前の同意がなくても個人データを第三者へ提供でき、本人から第三者提供の停止要求があった際には、個人データの第三者提供をやめるという方法のことです。

このオプトアウトの方法を使うためには、個人情報保護委員会に届出をしなければなりません。また、ホームページなどにオプトアウトを行うことを公表しなければならないといったルールもあります。 中には、オプトアウトの方法によっても第三者提供は認められないデータがあります。

一つは、「要配慮個人情報」です。要配慮個人情報とは、本人の人種、信仰、社会的身分、病歴、犯罪歴などで不当な差別・不利益が生じないよう、取扱いに特に配慮が必要となる個人情報のことです。 第二条 3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

もう一つは、オプトアウトで取得した個人データや不正に取得した個人データです。こうした第三者提供が認められていない情報にあたるものがないか事前に確認し、提供してしまわないよう注意しましょう。

第二十七条
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
二 第三者への提供を利用目的とすること。
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得の方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 本人の求めを受け付ける方法
八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

マイナンバーや個人情報関係の事務を外部へ委託する場合

pht_syhoumei19_2.jpg
「ここまで個人情報の定義や、第三者提供について解説しました。 では、マイナンバーや個人情報関係の事務を外部へ委託したい場合、第三者提供として本人の同意を得たり、オプトアウトをしたりすべきなのでしょうか?

個人データの委託は第三者提供にあたらない

個人情報保護法では、個人データの提供を受ける事業者は第三者にあたらないとされています。したがって、委託の際に本人の同意を得たり、オプトアウトしたりしなくても提供が可能です。 その代わり、委託先の事業者には適切な管理が求められ、委託元の企業は委託先の監督が義務づけられています。

委託元の責任についてはこちらで解説しています。

第二十七条
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

個人情報保護法とマイナンバー法での取扱いの違い

個人情報保護法では、委託は第三者提供にあたらないため、必要な範囲内において個人データを提供できるとされています。

これに対し、個人情報保護法の特別法にあたるマイナンバー法では、別段の規定が優先する結果として、個人情報保護法 第二十七条は適用されません。

マイナンバー法において委託は第三者提供にあたり、本人の同意の有無にかかわらず、第十九条の各号に該当しない場合には、特定個人情報を提供してはならないとされています。 ここが個人情報保護法とマイナンバー法での取扱いの大きな違いです。

第十九条 
何人も、次の各号のいずれかに該当する場合を除き、特定個人情報の提供をしてはならない。(後略)

個人情報の委託にあたる事例

個人情報を取扱う業務で「委託」にあたる例を二つご紹介します。

・CASE1|DM発送業務の委託 膨大な量のDMを発送するため、委託先に個人データを提供し、顧客の宛名印刷から発送までを請け負ってもらう
・CASE2|宅配業者に商品を届けてもらう 百貨店に来店したお客様が商品を注文したあと、その商品を発送するために宅配業者に個人データを提供した

プライバシーマークとは

プライバシーマークとは、個人情報の取扱いの基準をみたしているかを、第三者機関である一般財団法人 日本情報経済社会推進協会(JIPDEC)などが審査し、認定を受けた事業者が使用できるマークのことです。

プライバシーマークを取得するには、日本産業規格の JIS Q 15001「個人情報保護マネジメントシステム―要求事項」に基づいた個人情報保護体制を構築・運用しなければなりません。 プライバシーマークを取得している事業者は、社内の個人情報取扱いの意識レベルが高く、情報漏えいしにくい体制を備えていると考えてよいでしょう。

プライバシーマークは付与されてから2年間、有効とされています。 以降は、2年おきに更新を行うことができます。

個人情報の管理を外部委託する際のポイント

実際に個人情報を取扱う業務の委託を考えている事業者は、どういった点をおさえておけばよいのでしょうか。 委託元の責任、委託先の責任、それぞれの観点から解説します。

委託元の責任

事業者に対しては、個人情報を扱う業務を委託するうえで、委託先の「必要かつ適切な監督」が義務とされています。

第25条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

「必要かつ適切な監督」とは具体的に何をすべきなのでしょうか。 遵守すべき項目は以下の3つです。

委託先の適切な選定

委託先を選定するポイントとしては、その委託先で安全管理措置がなされ個人データを適切に取扱うことができるのかどうかです。また、プライバシーマークの取得の有無も選定の基準としてよいと考えられます。

3-4-4 委託先の監督(法第25条関係)
(1)適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。

委託契約の締結

個人情報保護法やガイドラインの遵守は個人情報を扱う事業者として当然です。ただ、それ以外の部分でも個人データの取扱いについて具体的に規定し、契約の締結をするのがよいとされています。 契約内容として盛り込める例として、以下の項目があげられます。

・個人データの具体的な利用目的
・データの保管場所や、持ち出しについて
・再委託を認めるか(再委託を認める場合はその条件)
・秘密保持や従業員に対しての教育・監督について
・禁止事項

これ以外にも事業者間で必要とされる内容について検討、整備することが望ましいとされます。

3-4-4 委託先の監督(法第25条関係)
(2)委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。

委託先での個人データ取扱い状況の把握

個人情報が正しく取扱われているか、また契約内容が確実に実施されているのかを把握・確認するため、定期的に報告を受けるほか、実施検査、監査も行いましょう。その結果を踏まえ、委託内容の見直しなどをするのが、適切な評価として望ましいとされています。

3-4-4 委託先の監督(法第25条関係)
(3)委託先における個人データ取扱状況の把握 委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。

委託先の責任

責任は委託先にも当然あります。 ただし、それは委託元(自社)が責任を負わないという意味ではありません。契約違反による損害賠償責任など、法的責任を負う可能性もあるので、必ず契約内容は確認しましょう。

委託先による利用範囲

契約内容の範囲を超えた個人データの使用はできません。 契約違反となり法的責任を負う可能性もあるので、必ず契約内容を確認したうえで十分注意しながら取扱いましょう。

個人データを不正に取扱う例として、以下のケースがあげられます。

・自社の営業目的のために利用すること
・委託された範囲を超えて、委託業務以外に使用すること
・委託された範囲を超えて、情報に加工をすること
・委託元の利用目的を超えて、自社の分析技術改善のために利用すること

委託先は、しっかりと分別管理しなければなりません。 どの範囲内で利用するかはあらかじめ検討し、契約するとよいでしょう。

個人情報の保護に関する法律についてのガイドライン(通則編)|個人情報保護委員会
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

個人情報の保護に関する法律|法令検索e-gov
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

まとめ:正しく取扱えば、お客様からの信頼が得られる

個人情報の定義、第三者提供、委託の際のポイントについて解説しました。 個人情報は自社内外問わず、厳格に取扱わなければなりません。 世の中のトレンドや社会情勢が変わるたびに個人情報の取扱いが懸念されますが、法律に基づき確実に対応できれば、企業としてのブランドの確立に役立ちます。 事業者はお客様の信頼や期待が損なわれないよう、正しく個人情報を扱うことが重要です。

ヤマトシステム開発はプライバシーマークを取得しています。これは、個人情報を適切に取扱う体制の整備が、所定の審査機関によって評価された証です。 個人情報の保護および情報セキュリティ対策を徹底しておりますので、運転免許証、健康保険証、マイナンバーカードなどの本人確認書類回収業務はヤマトシステム開発にお任せください。「証明書類Web取得サービス」ではWeb上のみで本人確認書類の回収が完了できます。ユーザー様にアプリをダウンロードしていただく必要もないため、書類回収率が約30%アップした事例もございます。 関心をお持ちの方は、以下のURLでホームページが閲覧できますので、ぜひ一度ご覧ください。

証明書類Web取得サービス|ヤマトシステム開発

https://www.smartwork.nekonet.co.jp/service/shoumei/

  • このエントリーをはてなブックマークに追加