個人情報保護法のWEB弁護士相談 - 入門・定義編 -

3. 個人情報の「提供元基準」「提供先基準」とは

「提供元基準」「提供先基準」とは、個人情報の第三者提供に当たるかどうかを判断するための2種類の考え方です。
「提供元基準」「提供先基準」の内容と、これらの違いを説明します。

なお、個人情報の第三者提供に関する一般的な解説については、「個人情報の第三者提供とは(定義、例外)」を参照してください。

インデックス
  • 業務内容

    個人情報の「提供元基準」とは

    個人情報の提供について、「提供元基準」と「提供先基準」という考え方があると聞きました。
    まず、「提供元基準」とはどのような考え方でしょうか?

    「提供元基準」とは、提供元にとって個人情報である情報を第三者に提供するのであれば、情報を受け取る提供先にとって個人情報でないとしても、個人情報の第三者提供に該当するものとして取り扱う、という考え方(判断基準)のことです。

    提供元にとっては個人情報だけど、提供先にとっては個人情報ではない、ということがあり得るのですね。

    そうです。
    例えば、「氏名と購買履歴の組み合わせ」そのものであれば、それだけで特定の個人を識別できますから、提供元にとっても、提供先にとっても、個人情報に当たります。
    では、提供元が「氏名と購買履歴の組み合わせ」から「氏名」を削除し、別のIDに置き換えた情報であればどうでしょうか?

    氏名が削除されれば、個人情報ではなくなるんですよね。

    そうとは限りません。
    確かに、IDと購買履歴だけでは、誰の情報か特定できないのが普通です。
    でも、社内のお客さまデータベースにIDを入力すれば、氏名が検索できる場合はどうでしょうか?

    かんたんに誰の情報か分かってしまいます。

    個人情報保護法では、このような場合に備えて、個人情報の定義に、次のような情報を含めることとしています。

      他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む

    (参照:個人情報保護法2条1項1号)

    このように、他の情報と容易に照合することができ、その結果として個人情報のような特定個人の識別につながる情報を、「容易照合性」がある情報といいます。
    「容易照合性」のある情報は、個人情報の定義に該当することとされています。

    「容易照合性」があるかどうかは、IDから氏名を調べることができるデータベースがあるかどうかで決まるのですね。
    つまり、提供元にとっては個人情報であっても、データベースを有しない提供先にとっては個人情報ではない、ということがあり得る、ということですね。

    そのとおりです。
    「提供元基準」を採用する場合は、提供先がそのようなデータベースを保有していなくても、提供元にとって個人情報になるのであれば、個人情報の第三者提供であるということになります。

    個人情報の「提供先基準」とは

    では、「提供先基準」とはどのような考え方でしょうか?

    「提供先基準」とは、提供先において個人情報となる情報を第三者に提供する場合に、個人情報の第三者提供として規制すれば十分であるという考え方です。
    「提供元基準」とは異なり、提供先における利用の態様に着目して法的評価を決める、という考え方になります。

    「提供元基準」と「提供先基準」の違いその1(提供元が個人情報を保有するケース)

    提供元が個人情報を保有するケースでは、「提供元基準」と「提供先基準」の違いはどのようになりますか?

    単純化して言えば、「提供先基準」のほうがデータの利活用がしやすい、ということになります。
    提供元が保有している個人情報をもとに、氏名など、それ単体で個人を特定できる情報を削除したデータベースを作成した場合を考えてみましょう。
    「提供元基準」によれば、このデータベースに容易照合性がある限りは、個人情報の第三者提供に該当するということになります。
    他方、「提供先基準」によれば、提供先が個人情報と紐づけることを提供先と締結する契約などで禁止しておけば、提供先にとっては個人情報の提供ではなくなります。
    つまり、個人情報の第三者提供に該当しないという前提で情報の提供ができることになります。
    図にまとめると、次のようになります。

    提供元基準と提供先基準の違い

    結局、「提供元基準」と「提供先基準」のどちらが正しいのでしょうか?

    条文の文言解釈からは、どちらが正しいと明確に言える状況ではありません。 ただ、個人情報保護委員会が公表した資料に次のような記載があることからすると、少なくとも個人情報保護委員会は提供元基準を採用しているようです。

    • 外部に提供する際、提供する部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、個人情報としての管理の下で適切に提供することを求めている。
    • これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めるものである(一般に「提供元基準」と呼ばれている。)。

    (参照:個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度体制大綱」(令和元年12月13日公表))

    そうすると、提供元が保有する個人情報は、本人の同意なく第三者に提供する方法はないのでしょうか?

    全くないわけではありません。
    例えば、提供する情報を「匿名加工情報」や「統計情報」に加工する方法があります。
    これらについては別の機会に改めてまとめてみたいと思います。

    「提供元基準」と「提供先基準」の違いその2(提供先が個人情報と紐づけるケース)

    提供元にとっては個人情報ではない情報を提供先に提供するケースではどうなりますか?

    「提供元基準」の考え方を単純に当てはめれば、提供元にとって個人情報でない情報の提供ですから、個人情報の第三者提供ではない、ということになりますね。

    では、個人情報保護法上は、提供先が個人情報との紐づけを行うケースについて、何も規制をしていないということになりますか?

    いいえ。
    また、そのようなケースは、個人関連情報の提供に該当します。
    提供先が個人情報として取得することが想定されるときは、本人の同意が得られていることを確認しないで提供を行ってはなりません。(個人情報保護法31条1項柱書)
    個人関連情報に関するルールについても、別の機会にまとめてみたいと思います。

    この論点は色々な事例や考え方があり、難解ですね。
    また落ち着いて勉強してみたいと思います。

    論文形式で腰を据えて勉強したいということであれば、下記の論文の「6 提供先で個人識別性を獲得する提供行為の評価」が分かりやすくておすすめです。
    個人関連情報のルールが導入される前に公表された記事ですが、背景にあるインターネット広告に関する論点とともに分かりやすく整理されています。

      若江雅子=森亮二=吉井秀樹「オンライン広告におけるトラッキングの現状とその法的考察―ビッグデータ時代のプライバシー問題にどう対応すべきか」

    (総務省学術雑誌『情報通信政策研究』 第 2 巻第 2 号)

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    詳しいプロフィールはこちら お問い合わせ
    この記事をシェアする

    関連リンク

    「個人情報保護法のWEB弁護士相談 - 入門・定義編 -」(記事一覧)
    関連業務のご紹介
    個⼈情報・マイナンバー

    個⼈情報・マイナンバー

    個人情報保護法/番号法/漏えい対応/データ利活用/セキュリティ/データマッピング

    詳しくはこちら

    ご依頼までの流れ

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。