覚えのない業者からダイレクトメールが来たり電話がかかってきたりして不審に感じたことのある方は少なくないのではないでしょうか。個人情報がある業者から他の業者へと渡っているとき、つまり第三者へ提供されているときにこの現象が起こります。今号の記事では第三者提供の制限について個人情報保護法に沿ってお話しします。

個人情報保護法は、本人の事前同意なしに個人データを第三者に提供することを原則として禁止しています。「原則として」と書いたのは例外として第三者提供が認められる場合があるからですが、例外について知る前にこの原則の基本的な内容を把握しておきましょう。

まず第三者提供が制限されている趣旨です。これは、個人データを第三者へ提供することは本人の権利利益の保護という観点から特に注意すべき行為であると考えられるからです。そもそも個人情報保護法の目的が「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」なので、第三者提供の制限は個人情報保護法の目的を直接具体化するものです。裏を返せば、第三者提供の制限は個人情報保護において極めて重要なものと位置づけられているといえます。

次に「第三者」と「提供」の意味を確認しましょう。「第三者」とは、個人情報を取り扱う業者および個人情報の持ち主以外の者をいいます。個人であることもありますし法人であることもあります。親会社・子会社の関係も第三者にあたります。住所録を個人向けに販売する場合の販売先個人も第三者にあたります。一方、社内の他部門へ個人データを提供することは第三者提供にあたりません。しかし、この場合は利用目的の特定という観点から問題となる可能性があります。

「提供」とは第三者が情報として利用可能な状態に個人データを置くことをいいます。したがって、明示的に第三者に渡す場合はもちろん、個人データを単に閲覧させるだけであっても提供にあたります。電子データとして存在する個人データを第三者が利用できる状態に置いている場合も提供に該当します。なお、故意でない場合は提供にあたりません。例えば従業員が勝手に個人データを第三者に利用可能な状態に置いたとしても、それが会社としての意思に基づくものでないときは、ここでいう「提供」ではありません。それは「漏洩」となります。

※参考文献　岡村道夫『個人情報保護法』（商事法務、2004年）

（行政書士　関戸幸一）