まずはじめに
個人情報は21世紀の石油などと称されているらしい。
個人情報であれば、事業者にいつの間にか溜まっていたりする。
であれば我が社は油田を有しているのか。
この油田を換金することはできまいか。
個人データを第三者に売却するにあたっての個人情報保護法上の制約と手続について、基本的なところからできるだけ分かりやすく解説してみる。
筆者は資格を持った弁護士ですが、本稿は分かり易さ優先で書き起こしているため、例外的場面に目をつぶるなど、厳密さにはいささか欠けます。
今現在まさに問題に直面している方の役にも立つとは思いますが、そのような方の場合、実際に弁護士に相談したほうが絶対に良いです。
事前の本人同意の原則
個人情報保護法には個人データの第三者への提供について、次のような規定がおかれている(27条1項柱書)。
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。…(以下省略)」
したがって、残念でした、たまたま溜まった個人データであれば、あらかじめ本人の同意を得てはいないだろうから、第三者に売却してしまうことはできない。
原則として、改めて本人の同意を得ることが必要になる。
ただ、多くの利用者本人の同意を改めて得ることは、現実には難しい。
そのため、何らかの許される方法がないか。
個人データの形で提供しないという方法
そもそも、個人情報保護法が規制しているのは、個人データの第三者提供である。このため、個人データの形で提供しなければよい。
統計情報としてしまう方法
統計情報については、下記のように個人情報保護委員会のHPにて説明されている。
統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しないものです。1
つまり、ある一人の人物の購買履歴や移動履歴等、個人単位の情報を含まない統計情報としてしまえば、個人情報保護法による規制が及ばない。
自社で分析を行い、統計データを作成することは能力的に困難であるかもしれない。
そのような場合は、このような能力を有する事業者に分析の委託を行うことが考えられる。
ここで、他の事業者に対して情報を提供することになるのであれば、第三者提供の規制にかかりそうである。
しかし、そうはならない。
業務委託先は「第三者」にあたらないとされているのである。
「第三者」にあたらない場合
「第三者」とは、提供元たる個人情報取扱事業者及び本人以外の者である。
「第三者」にあたるかは、法人格単位で判断される。
このため、親子会社等グループ企業間であっても、法人格が別であれば「第三者」に該当し、個人情報保護法の規制に服する。
であれば、業務委託先も「第三者」にあたりそうである。
しかしながら、法人格が異なる場合であっても、例外的に「第三者」にあたらないとされている場合がある。
それが下記の場合である。
- 委託先への提供
- 合併その他の事由による事業の承継者への提供
- 共同利用者への提供
このため、委託先へ提供する場合、「第三者」にあたらず、本人の同意は必要ない。ただし、委託先における個人データの安全管理について、監督責任を負うとされる(25条)。
したがって、業務委託により統計情報にしてもらえば、第三者に提供しても本人の同意はいらないことになる。
仮名情報とする方法
統計情報ではデータの粒度が荒すぎて、情報受領者の側で使い物にならないかもしれない。
氏名を仮名化するなどして譲渡したらどうなるか。
具体的には、たとえば、氏名、住所、生年月日、性別、購入物品名、購入日などという項目がある場合で、氏名と住所を削除したり、住所部分を○○県○○市などと丸めて個人を特定できなくしたような場合である。
こちらの手元には加工前のデータが残っており、照合しようと思えば容易にできるが、売却するのはこの加工後のデータで、これ単独では誰の記録かわからない。
「提供先」で特定の個人を識別可能性がないので、このような加工をしてしまえば問題がないようにも思われる。
ところが、個人情報保護委員会は、個人情報にあたるかの判断で問題になる本人の識別可能性について、「提供元」を基準とすべきとしている。
そうすると、氏名を仮名化しただけでは、「提供元」には、加工前の情報と加工後の情報は容易に照合可能なので、なお個人データに該当することになる。
したがって、仮名化してみても、第三者への提供はできないことになる。
このような考え方については、もちろん批判もある。
そもそも、第三者提供制限の制度趣旨は、個人データが流通に置かれることによる権利侵害のおそれの増大を防止することにあるから、提供先において識別ができるかを基準とすべきであるという批判である。
批判はもっともにも思えるのだが、個人情報保護委員会がこの説をとっているので、実務上はこの見解を前提とせざるを得ない。
仮名化しただけでは、第三者への提供はできない。
匿名加工情報とする方法
仮名化してみても第三者に提供できないことはわかった。
次の手段としては、匿名加工情報とすることが考えられる。
匿名加工情報とは、他の情報との照合によっても特定の個人を識別することができない程度に加工され、かつ当該個人情報を復元できないようにされたものである。
その加工のルールについて、個人情報保護法施行規則34条に規定がある。
第三十四条 法第四十三条第一項の個人情報保護委員会規則で定める基準は、次のとおりとする。
一 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
三 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
四 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
五 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
匿名加工情報については、本人の同意なく第三者提供が可能であるとされているので、情報を加工し、匿名加工情報にまですることができれば、第三者に提供することができる。
ただ、匿名加工情報は、要件に曖昧なところがある。
5号には個人情報データベース等の性質を勘案し、適切な措置を講ずるとあるが、何をどこまでやればよいのか明確でない。
また、要件を満たすような加工には手間がかかる。
これらが理由になって、制度設計当初想定したようには、普及が進んでいないと言われている。
最後に
以上のとおりであるから、偶々溜まっていた個人情報を第三者に提供しようとすれば、統計情報にしてしまうか、匿名加工情報にしなければならない。
間違いが起きやすいところであるが、仮名化しただけではダメなのである。