個人情報保護法31条1項の適用をめぐって、お取引先に問い合わせているのですが、話が噛み合わなくて困ります。。
どちらが間違っているのか、それとも前提が違うのか・・・相手はどこも超巨大企業なのですが、どうしたものでしょう。こんな問い合わせ、ごまんときているはずなのに。
個人関連情報を第三者提供するときは
個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの(2条7項))は、原則として本人同意がなくても第三者に提供することができますが、例外があります。それが31条1項の定めです。
個人関連情報取扱事業者は、第三者が個人関連情報(略)を個人データとして取得することが想定されるときは、第二十七第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 (略)
※下線筆者
この本人同意は、個人関連情報取扱事業者が取得を代行することも認められていますが、原則は、個人データとして取得するほうが得ることとされています。
当社では、当社サービスでためていただいたポイントを大手企業のポイントに交換できるというサービスを提供しているのですが、当社サイドでは個人が特定できる情報は基本的に取得せず、ユーザーがポイント交換をする際に、当社アプリ内で提携先ID(ランダムな番号)等を入力してもらい、提携先と連携する仕組みになっています。
当社にとって提携先IDを含むユーザーの情報は、誰かの情報ではあるけれど、特定の個人を識別することができない情報、すなわち個人関連情報です。
個人関連情報か個人情報か
- 提携先が個人データとして取得することを知りながら
- 当社にとって個人関連情報たる提携先ID等を渡す
ので、提携先が本人から同意をとるつもりがあるのか、あるのであればどのように取得するのか、31条1項に従い確認する必要があります。しかし、当社の担当者経由で提携先のご担当者にお尋ねしても、「利用規約に目的が書いている」など、全然回答になっていない…
- うちとおたくとの間に違う会社があって、その企業はおたくから個人データとして情報を取得するわけではないから31条1項の適用はない
- おたくの「個人データ」の第三者提供を受けるので、同意をとるべきはおたくであって、うちではない
個人データの第三者提供だったら?
提携先の理解に従って、当社が持つ情報が個人データであるとした場合はどうなるか。
前提として、提携先への提供は、委託や共同利用ではなく、第三者提供の適用除外は使えないと理解しています。そうすると、提供者である当社は、
- 提供日
- 提供先
- 本人
- 提供項目
- 本人の同意を得ている旨
の記録を作成し、3年間保存しなければなりません(29条、施行規則20条1項)。
ポイント交換では「交換する」ボタンの本人による押下がなければ前に進まないので、「本人の同意を得ている旨」はこれで足りそうだし(確認・記録ガイドライン4-2-1-2(1))、そのほかもログが残ります。したがって、保存期間さえ注意すればそれほど負担ではないようで、ひとまず安心です。
もっとも、当社としては個人関連情報の提供という認識なので、この同意取得代行も念のため兼ねたほうがよいと考え、「提携先のA社は、この情報を、あなたを特定できる形で取得しますよ」という内容を追加する予定です。
いずれにしても提供先で対応事項があるのに塩対応すぎない?
- 提供元
- 個人データ取得の経緯
を確認して、その記録を保存しなければなりません(30条)。
当社にとって個人データか個人関連情報かにかかわらず、提携先でも対応が必要ですべきことも変わってくるのだから、もう少し優しく対応してくれてもいいのに、なぜ塩対応ばかりなのか。。
チームのメンバーも、「こんなに足蹴にされるとは、私たちの理解が間違っているのでしょうか」とこぼしていました。弁護士に「第三者提供にあたる」といわれてせっせと対応しているのだけど…
もっとも私自身は、提携先に渡すために当社サーバを通るものの、「当社が」第三者に提供しているのではなくて、「当社を道具にして」「本人が」第三者に提供していると考えていいと思っているのでが。