この記事はチェ・アンリ法律事務所のムン・ジェシク弁護士の投稿です。スタートアップのための質の高いコンテンツを投稿フォームで共有したい人がいる場合は、ベンチャースクエアエディタチームeditor@venturesquare.netまでご連絡ください。
1人企業でなければ、すべての会社が適用を受けられない法が一つあります。まさに個人情報保護法です。一般消費者を対象とするB2C企業だけでなく、B2B企業といっても所属する従業員がいる場合は、その従業員の個人情報を必然的に取得するしかないので、個人情報保護法の適用を受けます。だから企業を運営する人なら絶対見過ごしてはならない法が個人情報保護法です。
個人情報保護法は、個人情報の収集から保存、利用、第三者への提供または委託、破棄など一連の処理行為と保護に関する一切の事項を規定しています。今回は個人情報を他の企業や他人に移転する際に問題になる可能性がある「個人情報の第三者提供」と「個人情報処理業務委託」の区別と違いについて取り上げます。収集した個人情報を当社内で利用するのではなく、他の会社または人に移転するという点で同様ですが、どちらに該当するかによって適法要件とそれに対する規制内容が大きく異なり、実際の実務上その区別も容易ではありません。
1. 「個人情報第三者提供」と「個人情報処理業務委託」の区別
「個人情報第三者提供」と「個人情報処理業務委託」を区分する基準は、誰の利益のために個人情報が処理されるか否かです。前者の場合には、個人情報が移転される第三者の利益のために処理され、後者は個人情報を移転する委託者の利益のために処理されます。当社最高裁判所は前者について「本来の個人情報収集・利用目的の範囲を超えて情報を提供される者の業務処理と利益のために個人情報が移転される場合」、後者について「本来の個人情報収集・利用目的に係る委託者本人の業務処理と利益のために個人情報が移転される場合」と明確に述べています。 2016図13263判決)。
こうして言葉では区別がしやすく見えても、実際の実務上の事例から区別することは容易ではありません。例えば、あるショッピングモール企業が顧客A/S対応のために別のコールセンター会社と契約を結んで顧客の個人情報を移転する場合はどうでしょうか。これは、コールセンター企業がショッピングモール企業の顧客対応サービスという業務を代わりに処理し、その会社の利益のために個人情報を移転されるものであり、第三者提供ではなく処理委託に該当します。もしコールセンター会社が自分の会社を広報しマーケティングするためにショッピングモール業者から顧客の個人情報を提供されるものであれば、これはコールセンター業者自身の業務処理と利益のためのものであり、第三者提供に該当します。
最高裁判所と個人情報保護委員会発刊ガイドでは、個人情報の取得目的と方法、対価収受可否、受託者に対する実質的は管理監督可否、情報主体又は利用者の個人情報保護必要性に及ぼす影響、個人情報を利用する必要がある者が実質的に誰であるかなどを総合的に考慮し、第三者提供と委託を区分します。
2. 「個人情報第三者提供」と「個人情報処理業務委託」の比較
それでは、これらの2つを区別することに成功した場合は、各ケースでどのような点に注意する必要があるかを見てみましょう。
まず、個人情報を移転する際に適法にするための要件です。 「個人情報第三者提供」の場合には、個人情報保護法第17条、第18条等による要件を満たさなければなりません。情報主体の同意があったり、法律に特別な規定に基づくものがあったり、公共の安全のために緊急に必要な場合などに該当しなければ適法です。ただし、「個人情報処理業務委託」の場合には、委託する業務の内容と受託者をホームページに掲示したり、新聞に載せたり、事業場などの見やすい場所に掲示するなどの容易に確認できる方法で公開しなければなりません(個人情報保護法第26条第2項)(ただし、広報や販売勧誘必要業務委託の場合は情報
次に、移転される個人情報に対する責任主体が異なるため、自分が個人情報の管理および監督に対する責任を負担する主体であることを確認することが重要です。 「個人情報処理業務委託」の場合、先に説明したように、自分の業務と利益のために個人情報を受託者に任せるだけに、それによる責任は委託者にあります。しかし「個人情報第三者提供」の場合、情報主体の同意や別途の要件が満たされなければならず、委託者の業務や利益にかかわらず移転されるので、その移転された個人情報に対する管理および監督責任は提供された第三者にあります。これにより、もし該当個人情報が流出するなどで情報主体に損害が発生した場合、「個人情報第三者提供」の場合、提供した者と提供された者それぞれの責任の有無や範囲によって異なるが、「個人情報処理業務委託」の場合、原則として委託者が負担し、万一受託者に帰責がある場合には、
最後に、「個人情報処理業務委託」の場合には、委託に関する内容が記載された文書として委託しなければなりません。つまり、委託者と受託者の間に契約書を作成しなければならないということです。上記契約書には、個人情報保護法第26条第1項、同法施行令第8条第1項による1)委託業務遂行目的外個人情報の処理禁止に関する事項、2)技術的・管理的保護措置に関する事項、3)委託業務の目的及び範囲、4)再委託制限に関する事項、5)アクセス制限等安全性点検等監督に関する事項、 7) 受託者が義務違反の場合、損害賠償等責任に関する事項をすべて含めなければなりません。 「個人情報第三者提供」の場合には、もちろん提供する者と受け取る者との間に事業提携等の目的で契約を締結することはできるが、上記に示すように当該個人情報の情報主体の同意や別途の要件を満たさなければならず、個人情報保護法が提供される者を規律することになるので、上記のような別途の契約書を必須的に要求しない。
最近、SKテレコムの個人情報流出問題により会社を運営する側だけでなく、消費者個人も個人情報への関心が大幅に増えたようです。それだけ個人情報の保護および管理に関するコンプライアンス業務にさらに気をつけなければなりません。
今年7月、個人情報保護委員会では、2023年に全面改正された個人情報保護法の内容を反映し、先に発刊された様々なガイドの内容を網羅した「個人情報処理統合ガイド」を設けました。本文でも該当ガイドの内容を参考にしました(個人情報保護委員会「個人情報処理統合ガイド」2025.7.、個人情報保護委員会ホームページからダウンロードすることができます)。皆様も個人情報を処理業務のために上記のガイドをご参照ください。
- 関連列をさらに表示
You must be logged in to post a comment.