大切な個人情報を他人に渡してしまっていいの?という疑問を持たれる方が多いと思います。厳密・厳格なルールに従って運用した場合に限り、第三者への提供が可能です。この記事では、個人データの第三者提供について説明します。
用語の定義
本人 | 個人情報によって識別される特定の個人 |
個人情報取扱事業者 | 個人情報データベース等を事業の用に供している者(国の機関、地方公共団体などを除く) |
個人情報データベース等 | 個人情報を含む情報の集合物であって、特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの |
個人データ | 個人情報データベース等を構成する個人情報 |
第三者 | 本人と個人情報取扱事業者以外の人や事業者。グループ会社や子会社も第三者に該当する。 |
個人データの第三者提供に際しての原則と例外
個人情報取扱事業者は原則として、あらかじめ本人の同意を得ないで個人データを第三者に提供することができません。ただし、例外があります。
例外1・・・法令に基づく場合や人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、など
例外2・・・オプトアウト方式による場合
オプトアウト方式による第三者提供
オプトアウト方式とは、以下の条件を満たせば、本人の同意なく個人データを第三者に提供できる制度のことです。ただし、不正取得された個人データやオプトアウト方式で取得した個人データは、オプトアウト方式での第三者提供はできません。
※個人情報を扱う業務の委託、事業の承継、共同利用を行う場合は、第三者提供にあたりません。
個人データ以外の情報の第三者提供
匿名加工情報・・・あらかじめHP等で今日表していれば第三者提供が可能
仮名加工情報・・・第三者提供禁止
個人関連情報・・・提供先で個人データと取り扱われる場合は本人の同意が必要
クラウドサービスを利用する場合
クラウドサービスの利用が、本人の同意が必要な第三者提供に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、
「本人の同意」を得る必要はありません。
※サーバが国外にあるサービスを利用する場合は、外国の第三者への提供にあたる可能性があるため、別途判断が必要になります。