5 第三者提供 個人データは誰かに提供されているのですか。

友人のあうりんは、様々な会社のサービスを比較したいと考え、自分の希望する内容をサービス紹介サイトに入力したところ、数社から資料や見積もりが届きました。その中から自分にぴったりのサービスを選択することができて良かったと思っているようです。一方で、資料や見積もりが、紹介サイトの運営者ではなく、サービスを行っている企業から送られてきたことに疑問も感じています。その後、話を聞いたこーほうもそのサービスを利用したいと考え、紹介サイトに必要事項を入力した後、同意ボタンを押したようですが、その内容は良く分かっていないようです。また、名前や住所、情報などが筒抜けになってしまうのではないかとの不安も感じているようです。
 生活者の方からも「様々な情報を基に、性格、趣味など個人の様々な情報が筒抜けになっているのではないか」といった不安の声も寄せられています。
 この項目では、個人データの第三者への提供に対する制度や、企業の取り組み、自分で管理できる仕組みなどについて、参考になる情報を紹介します。

もくじ

更新 個人データが勝手に第三者に提供されることはないのですか。

キャラクター

 個人情報保護法において、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければならないとされています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.13)
 「SOMPOグループ プライバシー・ポリシー」では、「SOMPOグループは、法令に定める場合を除き、お客さまご本人の同意なくお客さまの個人データを第三者に提供することはありません」と記されています。
 ここでいう法令に定める場合には、例えば、警察などからの照会、災害時の被災者情報の家族への提供など本人同意取得が困難な場合、委託・共同利用などがあります。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.13)このうち、委託や共同利用の場合については、例えば、SOMPOグループの「個人情報保護宣言」「グループ内における共同利用について」においては、委託の内容(例えば、情報システムの開発・運用に関わる業務)や共同利用するグループ会社の範囲などが明らかにされています。
 一方で、個人情報保護法には、本人の求めに応じて個人データの第三者への提供を停止する場合、本人の同意を得ることなく第三者に個人データを提供することができる、いわゆる「オプトアウト」制度が定められています。民間事業者向け個人情報保護法ハンドブックPDFP.16)
 「オプトアウト」によって個人データを第三者に提供しようとする者は、「その氏名・名称、住所および代表者の氏名、個人データの取得方法、本人の求めに応じて当該本人が識別される個人データ第三者への提供を停止すること、本人の求めを受け付ける方法等について、あらかじめ、本人に通知し、又は本人が容易に知リ得る状態に置くとともに、個人情報保護委員会に届け出る必要がある」と定められています。個人情報保護委員会「オプトアウト規定による第三者提供の届出
 例えば三菱電機は「オプトアウト方式の個人情報提供」というサイトで、個人情報の第三者提供について「利用目的」「第三者に提供される個人情報の項目」「第三者への提供方法」「第三者への提供の停止」「情報の取得方法」を掲載しており、「オプトアウト方式による個人情報の提供を停止したい場合のお問い合わせ先」についても記載しています。
 また、個人情報保護委員会のウェブサイトでは、オプトアウト届出を行っている事業者や、その事業者が第三者に提供している個人データの項目などを確認することができます。なお、全届出書一覧を表示する場合は、検索条件を全て空欄のまま検索ボタンを押すこととなっています。(「オプトアウト届出書検索・届出書一覧」)

文中のリンクまとめ

「第三者提供」に関する法制度を紹介しているWEBサイト

個人情報保護委員会

「第三者提供」に関する取り扱いを示している企業のWEBサイト

SOMPOグループ
個人情報保護委員会
三菱電機

更新 個人データの提供先は分かりますか。

キャラクター

 中部電力が提供する情報銀行サービス「MINLY(マインリー)」では、「サービス事業者の選定基準やパーソナルデータ提供先一覧」を公開しています。
 また、個人情報保護法においては、個人データを、「第三者に提供した場合・第三者から提供を受けた場合、一定事項を確認・記録する」こととされています。(「中小企業向けはじめての個人情報保護法~シンプルレッスン~」)
 個人データを第三者に提供した場合の確認・記録事項は『いつ・誰の・どんな情報を・誰に』提供したか、第三者から個人データの提供を受けた場合の確認・記録事項は『いつ・誰の・どんな情報を・誰から』に加えて『相手方の取得経緯』とされています。(「民間事業者向け個人情報保護ハンドブック」PDF/P.13~P.14)
 また、2022年4月から施行された改正個人情報保護法では、「個人データの第三者提供記録についても、本人が開示請求できる」ようになっています。(「民間事業者向け個人情報保護法ハンドブック」(PDF/P. 13~P.14)

私たち自身がどの第三者に提供するかを決めることはできないのですか。

キャラクター

 「NTTドコモ プライバシーポリシー」では、「4.パーソナルデータの取扱いに関する同意」において、「パーソナルデータの利用および第三者提供その他の取り扱いにあたり、お客さまからあらかじめ同意を得ることがあります」とした上で、「お客さまが、当社によるパーソナルデータの利用および第三者への提供を望まない場合、一定の範囲で、その旨を意思表示することができます」とされています。また、「お客さまが同意済みの主な事項を『パーソナルデータダッシュボード』から一覧としてご確認いただくことができるようにします」とされており、「パーソナルデータダッシュボード」には、第三者提供先の確認・変更のコーナーも設けられています。

 

パーソナルデータダッシュボード(一例)

ご自身のデータの提供先と種類の確認・変更ができる仕組み
出典:NTTドコモ「パーソナルデータダッシュボード」

 

 また、KDDI「プライバシーポータル」における「プライバシー設定の変更」では、「当社がお客さまのデータをどのように活用するか、お客さまご自身でいつでも簡単に確認、変更いただける機能を用意しています。規約への同意状況や当社によるデータの利用状況をご確認いただき、必要に応じてご変更ください」とし、グループ会社への第三者提供の同意等「オプトアウト(拒否)」の具体的な手順を掲載しています。

文中のリンクまとめ

個人で個人データの提供先を決めることができる企業のWEBサイト

NTTドコモ
KDDI

「匿名加工情報」って何ですか。

キャラクター

 個人情報保護法では、「特定の個人を識別することができないように個人情報を加工をしたもので、当該個人情報を復元できないようにした情報」のことを「匿名加工情報」と呼び、匿名加工情報の作成方法の基準を定めています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.20)
 匿名加工情報の取り扱いを明示している企業もあります。SOMPOホールディングスの「個人情報保護宣言」においては、「8.匿名加工情報の取扱い」において、匿名加工情報の作成にあたって、「法令に定める基準に従って、適正な加工を施すこと」「法令で定める基準に従って、削除した情報や加工の方法に関する情報の漏えいを防止するために安全管理措置を講じること」などの対応を行うとしております。また、「匿名加工情報の作成・第三者提供について」で、個人が特定されないように加工して第三者に提供している情報の具体的項目(SOMPOケアが介護サービスの提供に際して取得した健康状態などに関する情報など)や第三者に提供する際のセキュリティの確保策を公表しています。

文中のリンクまとめ

本人が特定できないように加工した情報の取り扱いに関するWEBサイト

個人情報保護委員会
SOMPOホールディングス

更新 「匿名加工情報」と「仮名加工情報」の違いはなんですか。

キャラクター

 2022年4月から施行された改正個人情報保護法では、「匿名加工情報」に加えて、新たに、事業者内部での分析を目的とした「仮名(かめい)加工情報」という仕組みが設けられました。個人情報保護委員会の「匿名加工情報 仮名加工情報パンフレット」では、「匿名加工情報は一定のルールの下で、本人の同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的に導入されました」とあります。一方、「仮名加工情報」とは「他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報のことを言います」と定められており、仮名加工情報は、「本人を識別しない、事業者内部での分析に限定すること等を条件に、利用目的の変更の制限や漏えい等の報告、開示・利用停止等の請求への対応等の義務を緩和し、様々な分析に活用できるようにするものです」とあります。(※)
 「匿名加工情報」と「仮名加工情報」は、どちらもデータの利活用促進を目的として定められましたが、それぞれ加工方法や取扱いルールが異なります。
 「匿名加工情報」は、本人か一切分からない程度まで加工することが求められており、第三者へ提供する際に本人の同意は不要とされています。一方、仮名加工情報は「氏名など個人が特定されるような記載の置換または削除という簡便な加工処理」が許可されている代わりに、「情報の提供範囲を自社内、もしくは、あらかじめ情報提供者に許可を取った範囲内に限るという制限」が付いており、第三者への提供は原則禁止されています。(日立総合計画研究所「キーワード 仮名加工情報」)

※「匿名加工情報」の定義は前章でご紹介しています。

文中のリンクまとめ

匿名加工情報、仮名加工情報に関連するWEBサイト

個人情報保護委員会
日立総合計画研究所

 個人の様々な情報が筒抜けにならないよう、個人が別々のところに提供した個人データが誰のものか分かる形で集められないようにしなければなりません。そのためには、個人データの第三者への提供を、個人の理解と納得のもとに行えるようにしていくことが大切です。また、自分たちのデータが、どのような形で匿名加工され、さらには、社会のために役立っているかに関する情報も、分かりやすい形で伝えていくことが求められます。