「個人情報の委託(個人データの取扱いの委託)」って結局何なんだ?
実務で当たり前のように行われている「個人情報の委託」(正確には、個人データの取扱いの全部または一部の委託、以下「個人データの取扱いの委託」)ですが、どこまでできるのかみなさん考えたことがありますでしょうか。
先日書いたエントリーで個人データの取扱いの委託に関する記事をご紹介したのですが、正直もやっとしていて、改めて「個人データの取扱いの委託」としてどこまで個人情報の提供が可能なのか、各種文献を調べてみました。
間違った記述がある場合はご指摘お願いいたします。
- 1.「個人データの取扱いの委託」を法律や各種ガイドラインではどのように書いているか
- 2.日置巴美「複数主体におけるパーソナルデータの取扱いと個人情報保護法」
- 3.田中浩之・北山昇「個人データの取扱いの委託と共同利用の最新実務 ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて」
- 4.影島広泰「改正個人情報保護法と企業実務」(清文社、2017)
- 5.皆様からのご指摘(8/6追記)
- 6.最後に
1.「個人データの取扱いの委託」を法律や各種ガイドラインではどのように書いているか
基本的なことですが、改めて法令から見ていきます。
個人情報保護法では、以下のように、原則として本人同意なく個人データを第三者提供できいことになっています。
※太字はkaneko以下同じ。
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
ただ一方で、委託に伴って個人データの提供がなされる場合には、当該個人データの受領者は、第三者に該当しない(=本人同意なく提供できる)とされています。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
第三者に該当しない理由については、個人情報の保護に関する法律についてのガイドライン(通則編)(以下、ガイドライン通則編)によると以下のように書かれてます。
個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとする。
ガイドライン通則編 51ページ
では、「個人データの取扱いの委託」はどういう定義で具体的にどのような例があてはまるのでしょうか。
ガイドライン通則編では以下のように書かれています。
「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。
ガイドライン通則編 44ページ
ちなみに、この委託にあたり、「委託先で処理した個人データを委託元に戻す行為は、どうなるの?」という疑問が生じるかと思いますが、これは当然に個人データの第三者提供には当たらないとされてます*1。
「個人データの取扱いの委託」の具体的な事例としては、ガイドライン通則編と『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(以下、ガイドライン等Q&A)には以下のように記載されています。
【OKの例(委託として解釈する例)】
- データの打ち込み等、情報処理を委託するために個人データを提供する場合(ガイドライン通則編より)
- 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合(ガイドライン通則編より)
- マンション管理組合が工事会社に修繕を発注する際に、当該工事会社が修繕を行うために個人データの取扱いを委託する必要がある場合(ガイドライン等Q&Aより)
【NGの例(委託として解釈できない例)】
- 個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合(ガイドライン等Q&Aより)
- 複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合 (ガイドライン等Q&Aより、以下、NG2例目)
NG2例目は、2018年12月の改訂時に追加された例のようですが、「このNG2例目の範囲がどこまでなのか」を以下各文献でみていきます。
以下8/6追記
高木先生から以下のご指摘をいただきました。
ガイドライン(通則編)平成30年改正時のパブコメでのJILIS意見(https://t.co/qdayfLm5GN のNo.7)も見てちょーす。https://t.co/SsDzLea823
— Hiromitsu Takagi (@HiromitsuTakagi) August 5, 2019
パブコメ見落としておりました。
ご指摘の箇所(No.7)は以下のような内容になっています。
[寄せられた御意見等]
委託を受けて個人データを処理するに際してその処理方法の技術向上のための研究・開発を当該データを用いて行うことは法23 条 5 項の「委託」を逸脱するものではないことを確認したい。
【理由】
改正案で追記される記載には「委託された業務以外に当該個人データを取り扱うことはできない」とあるが、以下の場合がそのような「できない」場合に当たらないと理解してよいか、確認したい。
○ 個人データを用いたデータ分析の処理を委託された受託事業者が、受託したデータ処理を行う過程において、データ分析の技術を向上する目的で、複数の分析方法を用いて結果を比較するなど、分析技術の改善のための研究・開発を、提供を受けた個人データを用いて行うことは、委託元事業者が特段それを禁止するなど制限していない限り、個人データの目的外利用に当たらず、法 23 条 5 項の「委託」を逸脱するものではなく、「第三者に該当しない場合」に当たらない。
【一般財団法人情報法制研究所個人情報保護法研究タスクフォース】
これに対し、以下のような回答がされています。
[御意見等に対する考え方]
法第 23 条第5項第1号の「委託」に該当するか否かは、個別の事例ごとに判断することになりますが、個人データを用いたデータ分析の処理を委託された事業者が、データ分析の技術を向上する目的で、その分析処理結果を利用することも、委託元の利用目的の達成に必要な範囲内である限り、法第 23 条第5項第1号の「委託」を逸脱しないと考えられます。
これは委託の範囲内なのですね。勉強になります。
ちなみに、このパブコメ、他にも興味深いものが多々あり、
例えばNo.3では
[寄せられた御意見等]
ある事業者が全ての委託元から「当該委託元企業が提供したデータを他の委託元企業から受け取った個人データと突合・解析し、非個人データ化された解析結果を各委託元企業に返却すること」を業務内容として委託を受ける場合、各委託元企業から当該事業者への個人データ提供はガイドライン3-4-3 (1)の委託の範囲内となるでしょうか?
【個人】
に対して
[御意見等に対する考え方]
個別の事例ごとに判断することになりますが、一般に、各委託元企業において特定した個人情報の利用目的の範囲内であり、かつ、個人データを第三者提供することについての本人の同意を有効に取得している等の事情が存在しない場合には、個人情報保護法ガイドライン3-4-3 (1)の委託の範囲外になると考えられます。
と回答されているし、
No.6では、
[寄せられた御意見等]
複数の委託を受ける事業者がそれら委託元の異なる個人データを個人情報の本人毎に突合する処理を行う場合は法 23 条 5 項の「委託」を逸脱するものであることを確認したい。
【理由】
改正案で追記される記載には「委託された業務以外に当該個人データを取り扱うことはできない」とあるが、以下の場合がその「できない」場合に当たると理解してよいか、確認したい。○ 複数の異なる事業者からの業務委託を受けた受託事業者が個人データを処理する場合に、それら複数の受託で提供を受けた個人データについて、データを統合して統計分析する目的で、個人データの本人毎に突合を行うことは、たとえ統合して得られる情報が統計量等の非個人情報に限られる場合であっても、「委託された業務以外」の個人データの取扱いに当たり、「第三者に該当しない場合」に当たる。
○ 上記の場合で、さらに、業務委託元の各事業者の全てがそのような突合によるデータ統合を業務として業務委託する場合についても、たとえそれが業務委託された業務に係る取扱いであろうとも、そのような業務自体が法 23 条5項の「委託」を逸脱するものであり、この場合も「第三者に該当しない場合」に当たる。
【一般財団法人情報法制研究所個人情報保護法研究タスクフォース】
に対して
[御意見等に対する考え方]
法第 23 条第5項第1号の「委託」に該当するか否かは、個別の事例ごとに判断することになりますが、複数の委託を受ける事業者が各委託元から委託に伴い提供を受けた個人データを個人情報の本人ごとに突合する処理を行うことは、各委託元企業において特定した個人情報の利用目的の範囲内であり、かつ、個人データを第三者提供することについての本人の同意を有効に取得している等の事情が存在しない限り、法第 23 条第5項第1号の「委託」には該当しないと考えられます。
と委託の範囲外である旨が明示されていたり、
No.10では、
[寄せられた御意見等]
【意見】
「…委託された業務以外に当該個人データを取り扱うことはできない。」
に続けて、
「仮に委託された業務以外の目的で当該個人データを取り扱う必要が生じた場合は、提供元が本人の同意を得たうえで当該個人データを提供先へ第三者提供するか、又は提供元と提供先の間で別途委託契約を締結する方法によることとなる。」
の一文を加えてはどうか。
【理由】
近時、情報処理業務の委託を受けて元データを保有している事業者が、委託元から別途、匿名加工情報の作成も委託されるケースが増加していることから、委託の(一体のものと取り扱われる)範囲を明確に示す必要があるため。
【一般財団法人日本情報経済社会推進協会】
に対して、
[御意見等に対する考え方]
仮に提供先において、委託された業務以外の目的で当該個人データを取り扱う必要が生じた場合は、当該個人データを第三者提供することについてあらかじめ本人の同意を得ることが考えられます。また、新たに提供元が委託する業務に含める場合は、別途委託契約を締結する方法等が考えられます。
と書かれていたりと、非常に参考になるパブコメになっていました。
追記ここまで
2.日置巴美「複数主体におけるパーソナルデータの取扱いと個人情報保護法」
三浦法律事務所の日置先生(執筆当時は内田・鮫島法律事務所に在籍)によるNBL*2の記事(以下、日置記事)です。
まず委託の範囲としては
委託として認められるためには、委託元が定めた利用目的の範囲内でのみ委託先において個人情報の取扱いがなされる、委託元が個人情報の取扱いについて指揮・命令し得る関係にある等の実態が伴うわないければならない。
日置記事 43ページ
と比較的ぬるっと?したご説明をされています。
ただ、以下のようにNG2例目に関する言及がされています。
仮に、委託先が複数の企業から個人情報の取扱いの委託を受けていたとして、これらを分離管理せず、合わせて取り扱った場合には、法20条の安全管理措置義務違反を問われ得ることとなろうし、法17条の不適正取得があったものとしてその違反も問われかねない。なお、このような委託先を選定し、実際に不適切な取扱いを許した委託元は、法22条の責任を問われ得る。
日置記事 45ページ脚注
ガイドライン等Q&Aの改訂前の2016年時点でこの点をしっかり言及されているのは興味深いですね。
3.田中浩之・北山昇「個人データの取扱いの委託と共同利用の最新実務 ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて」
先日書いたエントリーの再掲にはなりますが、
森・濱田松本法律事務所の田中浩之先生と北山昇先生による「個人データの取扱いの委託と共同利用の最新実務 ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて」*3(以下、田中・北山記事)です。
2018年12月に改定されたガイドライン等Q&Aの解説記事なのですが、上記のNG事例の2例目をより詳細に検討しています。
この記事のなかで以下のように事例が挙げられています。
【OKの例】
- 委託元から委託先に、統計情報や匿名加工情報の作成を委託した場合において、その成果物である統計情報や匿名加工情報を、委託元が委託先において自社利用させることを意図して提供すること
【NGの例】
- 委託先が個人データとして利用することを目的とするわけではなく、委託元から提供を受けた個人データを利用して(委託元から委託のない)統計情報や匿名加工情報の作成を目的とする場合
さらに本記事では、「個人データの取扱いの委託」について以下のように言及しています。
委託元A社が委託先B社に対して、A社の個人データとB社を含む他の会社の個人データを突合したうえで分析することを委託した場合であっても、このこと自体、個人情報保護法上の個人データの取扱いの委託の範囲を超えることになり、認められないと解される。そもそも、個人情報保護法上の個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に(自らの)個人データの取扱いを行わせることであるから、委託元が、本来、自らがやろうと思えば、できるはずの行為を委託先に依頼することである。
田中・北山記事 57ページ
個人情報取扱事業者は、自ら持っている情報を委託先に渡したり、委託先に新に情報を取得することを依頼(取得の委託)はできるが、委託することよりも前に委託先が既に保有していた個人情報や、委託先が他の委託元から入手した個人情報を利用することはできない。
田中・北山記事 57ページ
田中・北山記事で興味深いのは、
- 委託の範囲を明確に定義している点(個人的には狭すぎるようにも感じますが)
- 委託先が委託元の個人データと委託先の個人データ(自己保有のデータ含む)の突合分析NG
とある点です。
この解説だと例えば、(提供先で個人情報に該当するかどうかの問題がありますが、)
- データ分析を委託するにあたり、ID突合(sync)が合わせて発生する場合
- 広告主が広告配信をID指定で広告配信事業者に委託した場合
も委託とならない場合がありえるということなのでしょうか。
また、「委託先のデータが(委託先にとって)個人データでない場合は委託で突合分析できるのか?」という疑問も生じます。
4.影島広泰「改正個人情報保護法と企業実務」(清文社、2017)
上記kanekoの疑問に関して、田中・北山記事とは異なる解説がなされているように読み取れるのがこの本です。
この本はNG2例目がガイドライン等Q&Aに追記される前に出版された本であることは理解した上で考える必要がありますが、以下のようにcookieSync等のID突合を「個人データの取扱いの委託」と整理しています。
現在の実務では、①cookieSync等を使って、企業の会員IDと、広告配信業者(DSP事業者等)が把握するID等を紐づけし、属性情報に従った広告を配信したり、②「30代男性」のデータを、会員IDを別の仮IDに変換するなどして提供し、データの本人の消費行動や広告閲覧の履歴などの情報(例えば、どの会員が実際に商品を購入したか、広告をクリックしたかなどの情報)を提供先からフィードバックしてもらい、自社のビジネスに役立てることなどが行われている。
・・・(中略)・・・
この場合、一般的には、提供する情報の個人データ該当性(容易照合性を含む)は提供元において考える以上、個人データの提供であると整理した上で、広告配信や情報の分析という個人データの取扱いの「委託」に伴う提供と整理することになると考えられる。
影島広泰「改正個人情報保護法と企業実務」(清文社、2017) 374、375ページ
ちなみに、影島先生は、ビジネスロー・ジャーナル2017年7月号「個人情報の取扱いに関する実務FAQ 改正法対応を契機として」でも以下のようにDSP事業者にCookie等を提供する行為を「個人データの取扱いの委託」として整理しています。
インターネット上でターゲティング広告を出稿するため、Cookieやタグなどにより、IDをDSP(Demand-Side Platform)事業者等に提供することをどのように整理すべきか。アドテクの世界ではさまざまな仕組みが用いられているが、ここでは一般的な例について検討する。
まず、Cookie やタグ等によって提供されているIDは、受領するDSP事業者にとっては、特定の個人を識別できる情報ではないため、個人情報には該当しないのが通常である。
しかしながら、提供する情報が個人データであるかどうかは、提供先ではなく、提供元で考える。したがって、たとえDSP事業者に「30男性で缶コーヒーをよく飲むユーザ」というセグメントに属するIDを提供しただけだとしても、提供した各IDが、提供元の会社において会員ID等と紐付いていれば、提供元の事業者にとっては、個人データに該当するから、個人データを提供していることになる。
もっとも、一般的に、DSP事業者への個人データの提供は、自社が広告主となる広告を出稿するために個人データの取扱いを委託している形になっているから、委託に伴う提供であると解することができる。影島広泰「個人情報の取扱いに関する実務FAQ 改正法対応を契機として」LexisNexisビジネスロー・ジャーナル2017年7月号 41、41ページ
なお、広告主からID指定(ユーザー識別子によるターゲット指定)による広告配信のために、広告主からメディア事業者や広告配信事業者へのユーザー識別子の提供については、一般財団法人情報法制研究所 オンライン広告研究タスクフォースの「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」によると
ユーザ識別子によるターゲット指定の方法が用いられている場合には、ターゲット指定のためのユーザ識別子の送信が、個人データの第三者提供に当たるのではないかが論点となる。これについては、本 TF 第 2 期での検討課題と関係することから、第 2 期で改めて検討する。
一般財団法人情報法制研究所 オンライン広告研究タスクフォース「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」 28ページ
と書かれており論点としてはあるものの、今後の検討事項とされています。(第2期って進んでんのかな?)
5.皆様からのご指摘(8/6追記)
以下、twitter上での皆様からのご指摘をいくつかピックアップ
cookieSync等のID突合を「個人情報の委託」と整理しているのはポジショントークでしょうね〜。
— Takuji Hashizume (@takujihashizume) August 5, 2019
「個人情報の委託」って結局何なんだ? - Nobody's 法務 https://t.co/zVFIXHC1JS
委託もやっとするのすごいわかる。
— アーリー (@NH7023) August 4, 2019
個人的には結局、ユーザーとの関係などで「第三者提供だけど提供先のセキュリティチェックしたり、個人情報に関する覚書締結したり」最後の委託か第三者提供かを区別せずに(安全よりに倒して)やってたりしたり、委託先の管理監督責任の果たし方って実際どうやるか https://t.co/TrNOpivXX0
委託については、「もやっと」している箇所があるがゆえに、セミナーなどを聞きに行っても、講師によって解釈のスタンスに開きがある部分だと感じています。そのため、なかなか文献等で踏み込んで書きづらいトピックなのだろうと推測しています。 https://t.co/nx86CWBhSO
— ワナビ (@vvanna8e) August 5, 2019
この分野は全く分からないのですが、もし、個人データの取扱の全部又は一部の委託とは何かを論じるのであればQ&A5-33と5-34に出てくる、「個人データを提供したことにはならない」ため委託にならない場合の問題について触れることが必須なように思われます。詳しくないのでよく分からないですが。 https://t.co/t0fhXFkgk4
— QB被害者対策弁護団団員ronnor (@ahowota) August 5, 2019
(「あ、これ学会で重鎮が質問するときのフレーズだ。この後(ry」って思いました。苦笑)指摘の箇所は後ほど追記しておきます!
正確に言えば、条文上も「(自社領域の)個人データの取扱いの委託」であって、情報の委託と読んでしまったら間違う。 https://t.co/72YGkeVodT
— 松浦隼生 (@JunkiMATSUURA) August 5, 2019
そもそも個人情報の取扱いは、情報取得時の利用目的の明示等によって当該取扱いの範囲が画されまた正当化されるところ、こうやって正当に画された「個人情報の取扱い」という法的なスペースというか空間の中に、第三者たる従事者を招き入れることが時として必要。それを支えるのが委託のロジック。
— 松浦隼生 (@JunkiMATSUURA) August 5, 2019
だから、言葉が似ているとしても、日常、法律家が「業務委託」という言葉で片付けている領域の問題と、個人情報保護法のいう「取扱いの委託」とは、全然違うとまで言わないがやはり違う。
— 松浦隼生 (@JunkiMATSUURA) August 5, 2019
業務委託ありせば個人情報保護法上もクリア、なんてことは全くない。"全部または一部"を委託する、と書いてあるのも、まずもって(正当な)個人情報の取扱いあるべし、ということ。
— 松浦隼生 (@JunkiMATSUURA) August 5, 2019
鴨がネギ背負ってきたら、とは全然話が違うけれど、領域内で仕事をすべき受託者たる第三者が「うちのデータもつけときましたー」とかって自社DBにないようなカラムがおみやげでくれてラッキーとか言っててはだめで、受託者から第三者提供受けていることになっている。
— 松浦隼生 (@JunkiMATSUURA) August 5, 2019
まじめに読んだとき、適法に読める「委託」が相当狭いのは、たぶん正しい。この条文とその解釈の産むせせこましさは、たぶんGDPR以上と言ってもいい。ただ、それは漏洩なり提供なりを何よりも気にして23条を持った、われわれの甘受すべき宿痾じゃないかなと。
— 松浦隼生 (@JunkiMATSUURA) August 5, 2019
6.最後に
結論:やっぱなんだかもやっとする。
このエントリーを書くために15冊程度の個人情報について書かれた書籍(の委託に関する箇所)を読んでみたのですが、「個人データの取扱いの委託」について(ガイドライン等Q&A以上に)詳しく書かれている書籍ほとんどありませんでした。
これだけ日常的に使われているスキームなのに、です。
ご紹介した文献を見たうえでも、なんだか明確じゃないと個人的には感じます。
故に実務でふと不安になるんですよね。「あれ?これってほんとに委託スキームでいけるんだっけ?第三者提供スキームの方にすべきなんじゃないか?」と。
もう少し「個人データの取扱いの委託」に関して議論がされてもいいのではないでしょうか。
----------------------------------------------------------------
8/5 追記
- @ahowwota様、@junkiMATSUURA様のご指摘を踏まえて、「個人情報の委託」を「個人データの取扱いの委託」に修正
8/6 追記