個人情報保護法 頭の体操14
こんにちは、丸山満彦です。今回は、「共同して取得」?です。
【Q】当社(A社)は、若い女性向けに海外輸入雑貨のカタログ販売を行っています。最近、同じ客層をターゲットとし、健康食品のカタログ販売を行うB社、マーケット調査会社C社を相次いで買収しました。同じ客層をターゲットとしているので、A社のカタログを申し込んだ人をB社の顧客にもしたいと思っています。また、若い女性の購買行動を知りたいので、C社にも個人情報が行くようにしたいと思っています。当初は、共同利用や第三者提供のスキームを考えていたのですが、通知や同意など面倒な手続きが多いことに気づきました。そこで、個人情報を取得する際にA社、B社、C社の名前を連名し、かつ、それぞれの利用目的を記載することにより、一枚の申込用紙で各社がそれぞれ個人情報を取得することにしようと思っています。取得した後の個人情報はそれぞれの会社が責任をもって管理することになります。
法23条4項3号の共同利用とせずに取り扱うつもりですが、法律的に何か問題となりますか?
Comments
1.利用目的
第23条4項第3号の共同利用の規定は、共同利用事業者は、「別々の利用目的で利用することはできない」と解釈するのが一般的なので、問題ありだと思います。
2.責任を有するもの
共同利用者の範囲として、A社、B社、C社の名前を連名するのは良いと思うのですが、個人データの管理について責任を有する者/一次的に苦情等の受付処理を行う窓口がどこか明確にしておく必要があると思います。
3.共同して利用する個人データ項目
この設定状況には書かれていないですが、明確にする必要ありです。
4.買収前の顧客への対応
A社はB社、C社を買収したとのことなので、買収前に獲得した顧客の利用目的はA社のみで利用することになっていると思われます。
この場合、
買収前に獲得した顧客に対し、B社、C社に個人データを渡すことについて、通知する又は本人が容易に知り得る状態にすれば良いのか?
それとも、
買収前に獲得した顧客に対しては、買収前の利用目的の範囲を超えた利用になるので、やはり、あらためてB社、C社に個人データを渡すことについて、同意を取る必要があるのか?
という点です。
私の理解としては後者なんですが、実際どうなんでしょうか・・・?
Posted by: uzen | 2005.03.16 at 11:18
UZENさん、コメントありがとうございます。今回は3社がそれぞれ別々の利用目的で個人情報を同時に取得することができますか?というのが問題ですね。
しかし、あらたな問題の提起がありますね。共同利用する場合、利用目的は同じでなければならないか?
経済産業省ガイドラインのパブリックコメントのQ&Aにその答えがあるかも・・・
Posted by: 丸山満彦 | 2005.03.16 at 22:41
経済産業省ガイドラインのパブリックコメントのQ&Aとは、
http://www.meti.go.jp/policy/it_policy/privacy/privacy_qa.pdf
↑この資料のことなんでしょうか?
「共同利用」ではなく、「委託」扱いとなる・・・? でも、
・A社、B社、C社の名前を連名
・取得した後の個人情報はそれぞれの会社が責任をもって管理
するという前提からすると、「委託」と解釈するのは無理があるような気がする・・・。
それとも、A社、B社、C社の名前を連名で個人情報を取得したとしても、"実態"はA社のカタログを申し込んだ人をB社の顧客にしたり、マーケット調査会社C社に情報を渡していることを考えると、やはり「第三者提供」扱いとなってしまう・・・?
・・・そんな中でいろいろと調べていると、経産省ガイドラインの「共同利用」に関する記述が、パブリックコメントしたときと、最終版とで異なっていることに気付きました。
●パブリックコメント版
ウ) 利用する者の利用目的(別々の利用目的で利用することはできない。)
●最終版
ウ) 利用する者の利用目的(共同して利用する個人データのすべての利用目的)
この文言の修正、および、パブリックコメントで受け付けた意見に対する以下の回答
個人情報の利用目的がそれぞれ異なる個人情報取扱事業者間であっても、共同利用の手続を取った場合は、当該個人データについては、「第三者」とはしない、すなわち、同一体とみる
を踏まえると、A社~C社は個々の利用目的を列挙すれば良い、つまり、今回のA社、B社、C社の個人情報に関する取扱いは、なんら問題がないということになる・・・?
う~ん。難しい・・・。
Posted by: uzen | 2005.03.17 at 12:03
uzen 様
もう出かける寸前なので簡単に・・・
各会社毎に個別に有する利用目的と共通で有する利用目的とを明確に定義し書き分けていなければ,利用目的の記述としては曖昧すぎて無効だと判断されても文句は言えないでしょう。
ガイドラインの記載に頼りすぎるととんだ大怪我をするので,あまり参考にしないでご自信でよく考えたほうが良いです。
政府のガイドラインは,裁判官の書いた判決文ではありません。
主務大臣による単なる宣言の一種に過ぎないし,強制力はなく,任意的なものです。
Posted by: 夏井高人 | 2005.03.17 at 12:23
夏井です。
補足です。
書き分けていないと目的外利用の有無が判定できなくなってしまうので,いけませんね。
では・・・
Posted by: 夏井高人 | 2005.03.17 at 12:24
夏井 様
コメントありがとうございます。
> 各会社毎に個別に有する利用目的と共通で
> 有する利用目的とを明確に定義し書き分け
ておきさえすれば、仮に個々の会社で複数の利用目的があったとしても良いということですね。
が、ここに至って、本質的な疑問が疑問が浮かんでしまったのですが、
> 法23条4項3号の共同利用とせずに取り扱う
> つもりですが
今回のようなやり方で(A社、B社、C社の名前を連名にし、かつ、一枚の申込用紙で)個人情報を取得した場合、
会社毎に個別に有する利用目的
で取得した個人情報については、個々の会社(A社、B社、C社)が自社のシステム内でデータベース化し、6ヶ月以上保有した時点で【個々の会社の保有個人データ】扱いになり、
共通で有する利用目的
で取得した個人情報については、A社、B社、C社で「共同利用」をしている形態になるということなんでしょうか?
もしそうだとしたら、この個人情報(個人データ)の取扱いは、事業者側での管理が大変そうな気が・・・。
鈴木さんが指摘(懸念)されているように、事業者側のデータベースにおいて蓄積されている個々のデータと、それに対する利用目的の参照可能性を、きちんと担保しておく必要があるということですよね。
こういったことをきちんと管理できる事業者はいるのか・・・? なんて思ったりもします。
Posted by: uzen | 2005.03.17 at 15:05
uzen 様
おはようございます。
> もしそうだとしたら、この個人情報(個人データ)の取扱いは、事業者側での管理が大変そうな気が・・・。
そうですね。
私は,顧問会社に対しては,子会社,グループ会社その他の関連会社と同一のデータベースを共用している場合など特殊な場合を除いては共同利用形式にしないほうが良いと説明しています。
なお,法律関係が複雑になるとお考えのようですが,複雑なのは法律関係なのではなく,個人情報の利用形態のほうだと思います。利用形態が複雑だから適用される法律も複雑になる。欲張らずに利用形態をシンプルにすれば当然に法律関係もシンプルになります。
一般に,同一の者(自然人及び法人)が複数の異なる法的地位をもつことがあることはごく自然のことであり,通常のことなのですが,その当たり前のことが個人情報保護法の適用の場面でも発生するのだとご理解いただければよろしいのではないでしょうか?
Posted by: 夏井高人 | 2005.03.18 at 06:10
夏井 様
コメントありがとうございます。
> なお,法律関係が複雑になるとお考えのようですが,
> 複雑なのは法律関係なのではなく,個人情報の利用
> 形態のほうだと思います。利用形態が複雑だから適
> 用される法律も複雑になる。欲張らずに利用形態を
> シンプルにすれば当然に法律関係もシンプルになり
> ます。
たしかに、慧眼かもしれません・・・。
いろんなケースを想定するから(いろんな形態で経済活動をしようとするから)、それに対応すべくプログラム側でもif文を多用することになり、結果、プログラムロジックが複雑になって、管理も大変になるし、後からどこか修正しようとすると労力もかかる・・・。
後になって発生するかもしれない「もしも」のことを想定して、様々な利用形態を考えることをせずに、シンプルな形態にしておくというのが、個人情報の保護に関してはベストなのかもしれません。
まあ、そうはいっても、人生を「シンプル イズ ベスト」と悟りきれないのと同様に、事業活動も、そう簡単にいかないのも現実なのですが(苦笑)。
貴重なご意見ありがとうございました。
Posted by: uzen | 2005.03.18 at 11:29