こんにちは!
グローバルな情報戦略を模索中のfurimoniです。
本日も引き続き、日本の個人情報保護法について学習し、特に実務で重要となる「第三者提供」のルールについてインプットしました。
第三者提供の原則は「同意」
個人情報を第三者に提供する際の基本的なルールは、原則として本人の同意を得る必要がある、という点です。
しかし、日本の個情法には、例外的に本人の同意なしに提供が許容される仕組みがあります。これがオプトアウトです。
オプトアウトが許容される3つの条件
オプトアウトによって第三者提供を行うためには、以下の3つの条件を全て満たす必要があります。
- 停止の担保: 本人から提供停止の求めがあった場合、必ず停止することとしていること。
- 情報公開: 事前に以下の所定の事項を、容易に知り得る状態(例:ウェブサイトでの公開)にしていること。
- 委員会への届出: 上記2の事項について、個人情報保護委員会に届け出ていること。
ただし、オプトアウトで提供された情報を、さらに別の事業者へオプトアウトで再提供することは、連鎖的な提供を防ぐために禁止されています。
この「自分の情報をコントロールする権利」を担保する仕組みは、憲法で学習した自己情報コントロール権の理念とも通じる部分がありそうですね。
「第三者」の範囲を理解する
第三者提供のルールを適用する上で、「第三者とは誰か?」の定義が非常に重要です。
- 社内の人間: 個人情報を取得した会社(法人)の内部の人間は、第三者には該当しないため、同意なしに情報の共有が可能です。
- 子会社・関連会社: 法人としては別組織となるため、たとえグループ会社であっても第三者とみなされます。
- 委託先: 個人情報の取扱いを委託する場合の提供は、第三者提供とはみなされません(委託先に対する適切な監督義務は発生します)。
この「第三者ではない」とみなされる範囲を正しく理解することが、実務対応の第一歩となります。
今後の学習予定
今日は個人情報の第三者提供について学習しました。
明日は、この個人情報保護法学習の本丸ともいえる部分、日本法における個人情報が海外越境する場合の取扱いについて、しっかりと気合いを入れてインプットしていきます!
ではでは!
コメント