個人データの第三者提供
キャッシング・ローンの法律研究室 ※文字サイズ変更できます
キャッシング・ローンの法律研究室 > 消費者金融・サラ金の法律

個人データの第三者提供

・第三者への個人データの提供について
・例外について

第三者に個人データを提供することは認められるのですか?

結論から申し上げますと、原則として個人情報取扱事業者は、本人の同意を得ないで第三者に個人データを提供してはいけないことになっています。

この場合の第三者に個人データが提供されるという意味ですが、これは個人データが第三者の利用可能な状態に置かれるということです。

ですから、第三者が実際に利用したか否かとは無関係です。

ちなみに、個人データは個人情報データベース等を構成する個人情報のことなので、その状態は問われません。

わかりやすくいうと、デジタルデータはもちろんですが、データベース等から出力され印字されたものも個人データに該当するということです。

例外的に第三者に個人データを提供することは認められる場合とはどのようなものですか?

例外的に、個人データの第三者への提供が認められる場合があります。

具体的には、次のいずれかに該当するような場合です。これは、個人データに対する本人の権利の利益よりも、公共の利益やたの権利利益のほうが上回るからです。

■法令にもとづく場合
■人の生命、身体、財産の保護のために必要がある場合で、本人の同意を得るのが難しい場合
■公衆衛生の向上や児童の健全な育成の推進のために特に必要な場合で、本人の同意を得るのが難しい場合
■国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合で、本人の同意を得ることにより、その事務の遂行に支障を及ぼすおそれがあるとき

また、次の人は第三者への提供制限にいう第三者にあたらないものとされています。なので、個人データをこれらの人に移転したとしても本人の同意はいりません。

■利用目的の達成に必要な範囲内において個人データの取扱いを委託する場合の、その受託者
■合併その他の事業承継の場合の事業承継者
■個人データを特定の者との間で共同利用しており、共同利用の旨、共同利用される個人データの項目、共同利用者の範囲、利用する者の利用目的、その個人データの管理責任者の氏名等について、あらかじめ知りうる状態に置いている場合の共同利用者

最後にオプトアウト方式について、、、

オプトアウト方式というのは、次の事項をあらかじめ本人に通知したり、本人が容易に知りうる状態に置いているときには、前もって本人の同意がなくても、その個人データを第三者に提供することができる方式のことです。

■第三者への提供を利用目的とすること
■第三者に提供される個人データの項目
■第三者への提供の手段や方法
■本人の求めに応じて、その本人が識別される個人データの第三者への提供を停止すること
関連トピック

・事業者の個人データの安全管理について
・金融庁事務ガイドラインでの取り扱いについて

事業者は個人データの安全管理をどのように行う必要があるのですか?

個人情報の漏洩と安全管理については、近年社会問題にもなっていますが、個人情報に関する法律では、事業者は個人データの安全管理のために必要な措置を講ずることになっています。

事業者によって必要かつ適切な措置というのは異なりますが、組織的、人的、物理的、技術的な要素について安全管理措置がとられている必要があります。

また、安全管理のためには、どの部門で、どのような個人データを、何のために、どのような方法で取り扱っているかを把握し、問題点、改善点などを情報の取得、入力、利用、保存、提供、廃棄といった一連の流れに沿って検証することが必要です。

さらに、何が必要で適切な措置なのかは、取り扱う個人データの内容や量、データの媒体、取扱いの態様や関与する人の多寡によって異なりますので、リスクに応じて必要かつ適切な措置をとらなければなりません。

さて、ここで消費者信用産業についてですが、消費者信用産業における事業者が取り扱う個人データの件数は、一般的にも大量です。

また、データの内容も氏名や住所などの基礎的な属性データだけではなく、契約情報や取引履歴、支払能力、延滞に関する事実など幅広く、また一般に公開されない情報も多く含まれています。

さらに、これらはコンピュータによるデジタルデータとして保有されることが通常ですので、消費者信用産業における事業者の場合には、特に高度な安全管理措置が求められるのです。

金融庁事務ガイドラインではどのようになっているのですか?

金融庁事務ガイドラインには、物理的安全管理措置についての具体的な規定は、他の要素に含まれているためありません。

しかしながら、経産省信用分野ガイドラインでは、安全管理措置は、組織的、人的、技術的、物理的な各要素についてとられていなければならないとされています。

■組織的安全管理措置
組織的安全管理措置では、まず安全管理に対応した責任者の設置や組織体制の整備、安全管理措置を内容とする規程等の整備、これに従った運用、これらの実施状況等の確認検証とその結果にもとづいた改善などが求められることになります。

もし、事故がおきてしまった場合には、再発防止のための原因究明と対策を講じます。そして、二次的被害の防止などのために、その事故に関する個人データの本人への通知と説明を行い、事故の発生と内容について公表します。

■人的安全管理措置
人的安全管理措置については、次のようなことが必要です。
・従業員等に研修などを行なうこと
・個人データの取扱いに関する契約の締結などによって目的外利用や開示の禁止を義務づけること
・違反には、懲戒等の処分を行うこと

■物理的・技術的安全管理措置
物理的・技術的安全管理措置については、物理的に個人データを保護することや、技術的に必要な措置を講じるために、次のようなことが必要です。
・データルームへの入退室管理や媒体の施錠管理など
・システムのアクセスの制御
・不正ソフトウェア対策
・システムの監視と記録など
情報検索
 
Copyright© 2007 キャッシング・ローンの法律研究室. All rights reserved.