JAPHICマークの取得事業者には、適切な個人情報保護体制の整備が求められますが、その項目の一つに個人データの第三者提供が挙げられます。
第三者提供自体は可能ですが、こちらは細かく定められたルールに則って実施しなければいけません。
今回はこちらの内容について解説したいと思います。
個人データの第三者提供における原則
JAPHICマークの取得事業者に求められる、個人データの第三者提供における原則としては、まず本人の同意を必ず得ることが挙げられます。
本人の同意を得ない場合、事業の用に供する場合であっても、第三者提供はできません。
ただし、委託や事業承継、共同利用の場合は、本人の同意が必要ないとされています。
また、JAPHICマークの取得事業者は、個人データの利用目的を定めた上で運用しますが、第三者提供を行う場合は、必ずこちらの利用目的に第三者提供を含めなければいけません。
オプトアウトによる個人データの第三者提供について
オプトアウトによる第三者提供とは、JAPHICマークの取得事業者が、本人自らが行動し、拒否するまで、意思を確認せず、その本人の個人データを第三者へ提供することを指しています。
つまり、本人が反対しない限り、個人データの第三者提供に同意したとみなし、第三者提供が認められるということです。
また、このような方式の第三者提供は、以下の項目についてあらかじめ本人に伝える、もしくは本人が容易に知り得る状態にしておく必要があります。
・個人データを取り扱う事業者名、代表者の氏名、住所
・第三者提供を利用目的とすること
・第三者提供がされる個人データの内容
・第三者提供がされる個人データの取得方法
・第三者への提供方法
・本人の意思にしたがって第三者提供を停止すること
・本人の要望を受け付ける方法
・第三者提供がされる個人データの更新方法
・個人データの第三者提供を開始する予定日
ちなみに、これらの項目については、本人だけでなく、個人情報保護委員会にも届け出なければいません。
オプトアウトによる個人データの第三者提供の禁止事項
JAPHICマークの取得事業者は、オプトアウトによる個人データの第三者提供おいて、以下の行為を行ってはいけません。
・要配慮個人情報の第三者提供
・不正に取得された個人データの第三者提供
・オプトアウトによって提供を受けた個人データをオプトアウトで再提供すること
オプトアウトによる個人データの第三者提供の変更、中止
JAPHICマークの取得事業者は、オプトアウトによる個人データの第三者提供において、届出事項(個人データの項目、事業者名、事業者の代表者名、事業者住所など)が変更になったとき、あるいは個人データの第三者提供を中止したとき、本人に通知または本人が用意に知り得る状態にしなければいけません。
個人データの共同利用について
個人データの共同利用とは、端的にいうと、1つの事業者が取得した個人データを2社以上で使用することを指しています。
具体的には、以下のようなケースです。
・グループ企業で情報を共有する場合
・親子兄弟会社の間で共有する場合
・使用者と労働組合または労働者の過半数を代表する者との間で共有する場合
また、個人データの共同利用は、第三者提供には該当しませんが、JAPHICマークの取得事業者がこちらを実施する際には、その旨や共同利用をする個人データの項目、利用目的などについて、本人に通知しなければいけません。
まとめ
ここまで、JAPHICマークの取得事業者が個人データの第三者提供で注意すべき点について解説してきました。
第三者提供は、個人データを取り扱う事業者と本人だけでなく、他の事業者も関わってくる行為であるため、より安全性への配慮が必要になります。
また、前述したような対策は、JAPHICマークの取得時だけでなく、取得後も常に実施し続けていくことが求められます。
