Nobody's 法務

略称は「ノバ法」。著作権や特許とかを趣味程度に勉強している企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。

【1日1論文】個人データの取扱いの委託と共同利用の最新実務 ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて LexisNexisビジネスロー・ジャーナル 2019年8月号

今月のビジネス・ロージャーナルに掲載されていた、森・濱田松本法律事務所の田中浩之先生と北山昇先生による『個人情報の保護に関する法律についてのガイドライン(通則編)』と『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』の改訂に関する記事。

 

ガイドラインおよびQ&Aの詳細は以下

https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

https://www.ppc.go.jp/files/pdf/1906_APPI_QA_tsuikakoushin.pdf

 

この中でも、個人データの委託に関する箇所が勉強になったので、いくつか抜粋してメモ。

※引用部分の太字はkaneko

  

委託元A社が委託先B社に対して、A社の個人データとB社を含む他の会社の個人データを突合したうえで分析することを委託した場合であっても、このこと自体、個人情報保護法上の個人データの取扱いの委託の範囲を超えることになり、認められないと解される。そもそも、個人情報保護法上の個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に(自らの)個人データの取扱いを行わせることであるから、委託元が、本来、自らがやろうと思えば、できるはずの行為を委託先に依頼することである。

57ページ

 

個人情報取扱事業者は、自ら持っている情報を委託先に渡したり、委託先に新に情報を取得することを依頼(取得の委託)はできるが、委託することよりも前に委託先が既に保有していた個人情報や、委託先が他の委託元から入手した個人情報を利用することはできない。

57ページ

 

「結局、委託でどこまでできるんだっけ?」というのは個人データを扱う企業の法務の方であれば、一度は考えたことがあるのではないでしょうか。 

今回の記事は、委託の範囲を考えるうえで個人的に参考になる記事でした。この手のデータ提供を無理やり委託と解釈しようと試みる企業がいないと信じたいですが、とりあえず委託先においてデータを突合するようなケースの場合には、気を付けたいですね。

 

なお、今回は「委託元の個人データと委託先の個人データを突合すること」が想定されていますが、突合する委託先が保有するデータが個人データではない場合でも同様なのか、といったところは気になるところです。(ちゃんと調べてない)