個人データの第三者提供に関する提供元基準は、個人データの取扱いの委託にも適用されるか
1.検討事項
事業者Aが保有する個人データ(以下「加工前データ」といいます。)の一部を加工して、それだけでは特定の個人を識別できないデータ(ただし、加工前データとは容易に照合できるため、事業者Aにおいては引き続き個人データであるデータ。以下「加工済みデータ」といいます。)としたうえで、加工済みデータを事業者Bに提供する場合、個人データの第三者提供(個人情報保護法(以下「法」といいます。)27条1項)に該当するでしょうか。また、事業者Aが事業者Bに加工済みデータの取扱いを委託する場合、事業者Aは委託先監督義務(法25条)を負い、事業者Bは個人情報として加工済みデータを管理する必要があるでしょうか。
本稿では、上記のケース(以下「本件」といいます。)のうち、前半の第三者提供の場合について簡単に整理したうえで、後半の委託に提供元基準が適用されるか、適用された場合、個人情報保護法上どういう規律になるのかを検討してみたいと思います。
なお、前提として加工済みデータは仮名加工情報ではないものとします。仮名加工情報は、仮名加工情報を作成する意図をもって作成されたものだけを指すので(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A14-4)、ここでは安全管理措置の一環として加工済みデータに加工したという前提となります。
2.第三者提供の場合
まず、前半の第三者提供について検討します。
加工済みデータだけを見れば、特定の個人を識別できないため、仮に流出しても、それだけでは誰のデータか分からず、本人(加工前データにより識別される特定の個人)の利益が害されることもないようにも思われます。しかし、個人情報保護委員会は、いわゆる提供元基準を採用し、提供元において、個人データに該当する場合は、提供するデータそれ自体では特定の個人を識別できない場合でも、個人データの第三者提供に該当するとしています(2016年(平成28年)11月30日付「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果No19)。
本件についても、加工済みデータそれ自体では特定の個人を識別できませんが、加工済みデータは加工前データと容易に照合できるため、提供元において個人データに該当します。したがって、提供元基準により、加工済みデータを事業者Bに提供することは、個人データの第三者提供に該当することになります。これにより、提供側である事業者Aは、提供前に本人同意を取得する必要があり(法27条1項)、第三者提供記録の作成・保存義務(法29条)も負うことになります。他方、受領側である事業者Bについては、受領者にとって個人データに該当しない情報の受領ですので、確認・記録義務(法30条)の適用は受けないことになります(個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編) 2-2-2-1)。
3.委託の場合
次に、後半の委託について検討します。
まず、第三者提供の場合と同様に提供元基準が適用されるかを考えてみます。委託の場合において、提供元基準が適用されるかは必ずしも明確ではありませんが、第三者提供と委託の違いは、提供先が「第三者」に該当するか否かであり(委託の場合は「第三者」に該当しません。法27条5項)、提供するデータ自体に違いはないので、委託の場合も提供元基準が適用されるように思われます。これは、一般に個人情報該当性は、事業者ごとに判断される相対的な概念(つまり、同じ情報であっても、ある事業者にとっては他の個人情報と容易照合性があるため個人情報に該当するが、別の事業者にとってはそのような事情がないので個人情報に該当しないということもある)とされていることとも整合的だと考えられます。
したがって、事業者Aにおいては、個人データである加工済みデータの取扱いを事業者Bに委託するという整理になると考えられます。
他方、事業者Bにおいては、どうでしょうか。仮名加工情報についてですが、個人情報保護委員会は、「仮名加工情報の取扱いの委託を受けた事業者において、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない等により、当該仮名加工情報が「他の情報と容易に照合でき、それにより特定の個人を識別することができる」状態にない場合には、当該仮名加工情報は、「個人情報」(法第2条第1項)には該当しません。」(「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)の一部を改正する告示案」に関する意見募集結果10番)と述べています。本件は、仮名加工情報ではないという前提ですが、この回答の考え方は、仮名加工情報ではない情報にも当てはまると言えるため、事業者Bにおいては、個人情報ではない(個人データの取扱いの委託を受けていない)ということになります。そのため、個人情報保護法の定める個人情報取扱事業者の義務(法第4章)の適用も受けないということになります(注1)。委託元では個人情報なのに、委託先では個人情報ではないというのも変に感じられますが、先ほどの通り、個人情報該当性は相対的な概念ですので、必ずしも不自然ということではありません(注2)。
しかしながら、ここで疑問が生じます。事業者Aにとっては個人データの取扱いの委託になるのに、事業者Bにとっては個人データを取り扱っているわけではないとなると、事業者Aに適用される委託先監督義務(法25条)はどうなるのでしょうか。通常の個人データの取扱いの委託(受託者にとっても個人データにあたる情報の取扱いの委託)の場合、受託者も個人情報保護法が定める個人情報取扱事業者としての義務の適用を受けるので、委託者としては、それを前提に個人情報保護法の遵守等を契約で委託先に義務付けることになります(その他、立入検査の権限等を契約で委託者に付与することも多いと思われます)。他方、本件においては、受託者(本件でいえば事業者B)は、提供を受けた情報(本件でいえば加工済みデータ)について個人情報取扱事業者としての義務を負わないことから、受託者に対して、どのような義務を負わせればよいのでしょうか。個人情報保護法上は、個人情報取扱事業者としての義務を負わないが、契約でこれと同等の義務を負わせるという方法もあり得ますが、過剰な対応のようにも思われます。そもそも個人情報保護法は、本人の権利利益の保護だけでなく、個人情報の利活用による社会の便益や事業者の負担等も考慮して、義務の内容を定めているため、個人情報保護法では、個人情報取扱事業者としての取扱いを求められていないのに、契約でこれを求めるというのは、加工済みデータの保護の必要性と受託者の負担とのバランスが取れていないように思われます(個人情報については、一般に、アクセス権限を一定の従業員に限定したり、物理的な保管区域を限定したり、サーバのセキュリティレベルを上げたり、というように、コストをかけて保管していると思われますが、受託先にこのような管理コストをかけさせることが妥当かは疑問に思われます)。
また、委託先の監督の程度は、「取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて」変わるところ(個人情報の保護に関する法律についてのガイドライン(通則編)3-4-4)、加工済みデータは、本人が特定できないように加工されたものですので、データが漏えい等をした場合に本人が被る権利利益の侵害の大きさは低いものといえます(そもそも本人に被害が生じる可能性がほとんど考えられない場合もあるように思います)。
以上を踏まえると、加工済みデータに関しては、一般的な守秘義務(目的外利用の禁止、知る必要のある範囲の従業員にのみ開示可能、第三者への開示の禁止、善管注意義務を尽くした保管等)を遵守させることで、委託先の監督としても十分なように思われます(注3)。
以上、個人データの第三者提供・委託と提供元基準について検討してみました。
(注1)本件と異なり、加工済みデータが仮名加工情報である場合は、受託者は、仮名加工情報取扱事業者としての義務を負うことになります(法42条)。
(注2)ちなみに、個人情報保護委員会は、提供元基準と委託先の個人情報該当性の関係について、次のように述べています。「平成28 年 11 月 30 日「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果の No.19の御意見に対する考え方は、ある情報の第三者提供の場面において、それが「個人情報」の第三者提供に該当するか否かは、提供元において当該情報が「個人情報」に該当するか否かを基準に判断する旨を示したものであり、委託に伴い提供を受けたデータの委託先における「個人情報」該当性についての考え方を示したものではありません。」(「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)の一部を改正する告示案」に関する意見募集結果10番)
(注3)データの加工が甘く、加工済みデータ自体から特定の個人を識別できる状態になっている場合は、受託者にとっても個人情報となってしまいます。この場合、受託者も個人情報として取り扱う必要が生じるため、受託者としても加工済みデータが特定の個人を識別できるものとなっていないか、注意する必要があります。具体的な注意事項については、一般社団法人情報サービス産業協会 個人情報保護タスクフォースレポート「改正個人情報保護法 情報サービス事業者における実務上の留意点~こんなときどうする?確認のためのケーススタディ~」にあるケース1~3が参考になります。
Follow me!
