第85回 個人情報保護法 直前講座(4)
あと6週間。
個人情報保護法の完全施行まで、残りわずかです。
4月1日までにやっておいた方がよいことを、
いっしょに復習していきましょう。
では、「直前講座」第4週目です。
●その4「第三者提供するときは、同意をとる」
■第三者提供とは
はじめに、第三者提供の意味をおさらいしておきましょう。
B社がAさんの個人情報を保有しているとすれば、AさんとB社以外の「者」が「第三者」になります。
個人でも法人でも「者」に含まれますから、Aさん以外の個人の全てと、B社以外の事業者の全てが第三者です。
提供という言葉の意味は、自分の持っているモノを他人の役に立てるよう差し出すことです。
つまり、当初持っていた情報を第三者に移転することですから、
いちど提供したらその情報は戻ってきません。
あなたがB社に預けたあなた自身の個人情報が、知らない間に別の会社に「コレ使えるよ、どうぞ。」と差し出されている状態を想像しましょう。
気分がいいものではなく、なにか不利益を被るかもしれません。
ですから、第三者に個人データを提供する場合は原則として本人の「同意」を得なければなりません。(個人情報保護法23条)
第三者提供を、コラボレットでは「嫁に出す」と言っています。
本人の意向を無視して結婚は決まらないものだし(同意をとる)、
嫁ぎ先の家に入って戻ってこない(提供する)のですから。
まぁ、娘は戻ってくる場合もありますけど。
■グループ会社の場合
グループ会社で資本関係が深く、業務上の交流も頻繁にある場合など、
「オレたち身内。兄弟会社だし一体だ。」という仲間意識があります。
しかし、法律上はまったく別の組織なのです。
---例---
Aさんが、スポーツクラブB社に、入会を申し込みました。
このB社のグループ企業に、健康食品の通販会社C社があります。
C社にとって、「クラブの会員名簿=確度の高い見込み顧客リスト」です。
しかし、第三者であるC社に個人データを提供するには、事前に会員に「同意」をとっておく必要があります。
------
■フランチャイズ組織の場合
フランチャイズ組織の本部と加盟店で、個人データをやりとりする場合も同じケースです。
---例---
Aさんは、情報サービス会社B社に、入会を申し込みました。
B社は、ITサービスを行うフランチャイズ本部C社の加盟店です。
ユーザーは、全国の最寄りの加盟店のサーバーにアクセスして、サービスを受ける仕組みです。
全国ユーザーの個人データは、本部と加盟店のサーバーに登録されており、どこからでも閲覧することができます。
この場合も、会員に「同意」をとっておく必要があります。
------
「本人の同意を得る」方法は、署名・捺印された文書に限りません。
本人から同意する内容を、eメールで受信する、確認欄にチェックしてもらう、ホームページの確認ボタンのクリックなどの方法も可能です。
ともかく、身内意識、仲間意識に流されないで、
お客様の立場で手続き方法を見直しておきましょう。
■本人の同意なしに共同利用する場合
例外的に個人データの第三者提供が許される場合があります。
グループ企業で総合的なサービスを提供するため、同一のデータベースを利用目的の範囲内で複数企業が利用する場合です。
ただし、共同利用が許されるために、
(1)共同利用する、ということを告知し、
(2)共同して利用される、データの項目と
(3)共同利用する者(会社など)の範囲を決め、
(4)利用する者(会社など)の利用目的、
(5)個人データを安全に管理する責任者の氏名や名称を、
あらかじめ本人に通知し、または容易に知りうる状態に置くことという、
条件を満たす必要があります。
一例として「楽天市場」の会員規約を読み返してみましょう。
http://www.rakuten.co.jp/myrakuten/rule/
もちろん、グループ企業で個人データをやりとりすれば、
それだけリスクも高まります。
