個人情報保護法のWEB弁護士相談 - 入門・定義編 -

5. 個人情報の共同利用とは

共同利用者間における個人情報の提供は、一定の要件をみたせば、本人の同意を得る必要はありません。
ただし、個人情報保護法で許される範囲を超えた提供を行ってしまうと、同意なく第三者提供を行ったとの評価を受けるおそれもあります。
個人情報の共同利用とは何か、定義を確認しましょう。

インデックス
  • 業務内容

    当社主催のセミナーでアンケートを実施して、連絡先などの個人情報を取得しました。
    この個人情報をグループ企業間で共同利用したいと考えています。
    まず、個人情報の共同利用とはどういう制度なのか、簡単に教えてください。

    個人情報の共同利用とは、複数の共同利用者に適用されるルールを本人が認識できる状態にしておくことを要件として、共同利用者間における個人情報の提供について、あらかじめ本人の同意を得ることを不要とする制度です。(個人情報保護法27条5項3号)
    個人情報保護法上では、提供先となる共同利用者を「第三者」に当たらないものと整理されています。

    個人情報を第三者へ提供するには、あらかじめ本人の同意を得なければならないのが原則ですが、個人情報の共同利用は、この原則に対する例外の一つです。
    個人情報の「第三者提供」については、個人情報の第三者提供とは(定義、例外)をご参照ください。

    そもそも、なぜ共同利用が例外として許されているのですか。

    本人からみて、個人情報を当初提供した相手と、他の共同利用者とが一体のものとして取り扱われることに合理性があると考えられることが、その趣旨とされています。
    ガイドラインでは、次のような場合に利用されることが想定される具体例として挙げられています。

    • グループ企業で総合的なサービスを提供するために取得時の利用目的の範囲内で情報を共同利用する場合
    • 親子兄弟会社の間で取得時の利用目的の範囲内で個人情報を共同利用する場合
    • 使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人情報を共同利用する場合

    (参照:ガイドライン(通則編)3-6-3(3))

    グループ会社以外の他社との間でも、共同利用により個人情報の提供を行ってもよいのでしょうか。

    はい。
    ケースバイケースの判断になりますが、グループ会社以外の他社であっても、本人から見て、両社が一体として取り扱われることに合理性があれば、共同利用による提供を行うことができます。
    個人情報保護委員会Q&Aでは、複数の企業でセミナーを共催して、申込受付やアンケートを共同で実施する場合に、共同利用とすることができるとされています。(Q&A7-47)
    複数の企業による提携事業の実施のために顧客情報を相互提供する場合などでも、共同利用を採用することがあります。

    改めて整理しておきたいのですが、個人情報の「第三者提供」と「共同利用」との相違点は、何でしょうか。

    個人情報の「第三者提供」と「共同利用」の違いは、個人情報を他社に提供する際に、あらかじめ本人の同意を得ることが必要かどうかという点です。
    どちらも個人情報を他社に提供するという点では同じですが、原則である「第三者提供」の場合には、あらかじめ本人の同意を得ることが必要であるのに対して、その例外である「共同利用」の場合には、本人の同意は不要であるという違いがあります。
    本人の同意なしに個人情報を第三者である他社に提供してはならないのが原則ですが、個人情報の提供先の他社が共同利用者である場合には、例外的に第三者に当たらないとされ、本人の同意なしに提供できるということです。

    では、個人情報の「委託」と「共同利用」とでは、何が違うのでしょうか。
    どちらも本人の同意が不要となるのは同じですよね。

    はい。
    個人情報の「委託」と「共同利用」は、提供先が「第三者」に当たらないこととされ、本人の同意なしに提供できるという点では同じです。

    個人情報の「委託」と「共同利用」の違いは、提供先での利用目的について課される制約の内容です。
    個人情報の「委託」の場合、提供先となる委託先は、委託元の利用目的の範囲内で個人情報を取り扱わなければなりません。
    これに対し、個人情報の「共同利用」の場合における利用目的は、共同利用の目的の範囲内でなければならないとされています。
    提供先に課される利用目的の制約が、それぞれ異なる観点から課されるということですね。

    委託先への提供を「共同利用」として行うことにすれば、「委託」に伴う提供はなくなりますから、委託先管理を行う必要もなくなるのでしょうか。

    いいえ。そういうわけにはいきません。
    共同利用者の範囲に委託先が含まれる場合であっても、提供先が個人情報の取扱いの委託先であることには変わりありませんから、委託元は、委託先の監督義務を免れることはできません。
    個人情報の「委託」に伴う提供についての詳しい説明は、個人情報の委託に伴う提供をご覧ください。

    個人情報の共同利用を行うための要件について詳しく教えてください。

    個人情報の共同利用を行うには、あらかじめ以下の5つの事項を本人に通知するか、本人が容易に知り得る状態に置く必要があります。
    一般的には、Webページにプライバシーポリシーと同じように継続的に掲載するという方法で、本人が容易に知り得る状態に置くことが一般的です。

    1. 共同利用をする旨
    2. 共同して利用される個人情報の項目
    3. 共同して利用する者(共同利用者)の範囲
    4. 共同利用者の利用目的
    5. 個人情報の管理責任者の名称、住所、および代表者氏名(管理責任者が法人である場合)

    (参照:個人情報保護法27条5項3号)

    Webページに掲載するにあたっての注意点はありますか。

    ガイドライン(通則編)では、「本人が容易に知り得る状態」に該当する事例として、以下の事例が挙げられています。
    (ガイドライン(通則編)3-6-3(3)(※4)、3-6-2-1(※2))

    1. 本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合事例
    2. 本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合
    3. 本人に頒布されている定期刊行物への定期的掲載を行っている場合
    4. 電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合

    上記の事例のうち1番をみたすWebページでの掲載方法の例として、以下の図表も参考にしてください。

    Webページでの掲載方法例

    上記の5つの事項について、共同利用を始めた後に本人の同意なく変更することはできますか。

    5つの事項のうち、4番の利用目的については、社会通念上、本人が通常予測できると客観的に認められる範囲内で変更することができます。
    また、5番の管理責任者に関する情報については、住所などに変更があったときには遅滞なく、「本人が容易に知り得る状態」に置くことなどの対応が必要です。
    他方、2番の個人情報の項目、3番の共同利用者の範囲については、事後の変更が原則として認められていません。これらの項目を変更したい場合は、本人の同意を得るか、新しい共同利用を開始するようにしましょう。

    共同利用者の範囲について、共同利用を行う際には、当社のWebページで共同利用者をすべて列挙して公表しないと、「本人が容易に知り得る状態」に置いているとは評価されないのでしょうか。

    共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要はあるものの、共同利用者の名称を個別に列挙して公表する必要はありません。
    金融分野ガイドラインでは、共同利用者を構成する企業や組織などが将来入れ替わる可能性も織り込んだ形で特定するすることが望ましいとされています。
    上場企業ですと、「当社および有価証券報告書等に記載されている、当社の子会社」などと有価証券報告書を基準にして共同利用者の範囲を特定するものをよくお見かけします。

    「管理責任者」とは、当社における共同利用の担当責任者のことですか?

    個人情報の共同利用における「管理責任者」とは、開示などの請求や苦情を受け付け、その処理に尽力するとともに、個人情報の内容などについて、開示、訂正、利用停止などの権限を有し、安全管理など個人情報の管理について責任を有する者のことです。(ガイドライン(通則編)3-6-3)
    つまり、共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正などを行う権限のある者のことであり、共同利用者のうち一事業者の内部における取扱責任者や問い合わせの担当責任者のことではありません。
    また、管理責任者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人情報を正確かつ最新の内容に保つよう努めなければならないとされています。

    共同利用についての事項が当社のWebページで公開されていれば、従業員は、特に手続きを経ることなく他の共同利用者に個人情報を提供できるのですか。

    実務上は、個人のプライバシー侵害の防止のため、共同利用者間で契約書や覚書を締結することによって、個人情報の取扱いルールを定めることが一般的です。ガイドライン(通則編)では、共同利用者における責任などを明確にし、円滑に実施する観点から、以下の事項をあらかじめ取り決めておくことが望ましいとされています。

    1. 共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であることなど、共同利用による事業遂行上の一定の枠組み)
    2. 各共同利用者の個人情報取扱責任者、問い合わせ担当者および連絡先
    3. 共同利用する個人情報の取扱いに関する事項
      ・個人情報の漏えいなど防止に関する事項
      ・目的外の加工、利用、複写、複製などの禁止
      ・共同利用終了後のデータの返還、消去、廃棄に関する事項
    4. 共同利用する個人情報の取扱いに関する取決めが遵守されなかった場合の措置
    5. 共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項
    6. 共同利用を終了する際の手続き

    (参照:ガイドライン(通則編)3-6-3(3))

    そのため、個人情報を取り扱う際には、共同利用についてWebページで公開されているからといって、特に手続きを経ることなく他の共同利用者に対して個人情報を提供できると即断することは危険です。
    上記の事項について契約書や覚書を締結していないかを社内で確認し、提供を行う際に台帳に記録する、個別に稟議手続きを経るなど、ルールに従った取り扱いを心がけましょう。

    当社の顧客から過去に取得済みの個人情報を、これから行う事業において共同利用することはできますか。
    事業部門からは、今後取得する個人情報のみを対象とするのではデータの量が不十分であるから、過去に取得済みの個人情報も共同利用の対象に含めたい、と強く言われています。

    ご質問の点は、共同利用を開始する際にしばしば課題となる論点です。
    ガイドライン(通則編)では、本人の同意を得ることなくすでに取得済みの個人情報を共同利用したい場合に、以下の3つの要件を満たす必要があるとされています。

    1. 社会通念上、共同利用者の範囲や共同利用の目的などが、本人が通常予期し得ると客観的に認められる範囲内であること
    2. 個人情報の内容や性質などに応じて共同利用の是非を判断すること
    3. 共同利用を行う事業者が特定している利用目的の範囲内で共同利用を行うこと

    (参照:ガイドライン(通則編)3-6-3(3))

    1番の「本人が通常予期し得る範囲」と2番の「共同利用の是非」は、要件が抽象的で不安です。

    諸事情を踏まえた総合的な判断になるので、実務上も悩ましい論点です。
    共同利用が行われる事業の内容や、本人からどのように見えるかなどを多角的に検討しながら判断することになります。
    過去に問題視されたのは、共通ポイントカードの取引履歴が共通ポイントの発行会社のみならず、ポイントプログラムに加盟する異業種の企業に提供されていた事例です。
    このような個人情報の提供は共同利用の趣旨に反するのではないかとの指摘を受け、現在では、法的な根拠を共同利用ではなく第三者提供であると再整理されています。

    3番の「利用目的の範囲」について、取得時の利用目的の文言と共同利用の利用目的の文言が完全に一致していなければ、共同利用の対象に含めることはできないのでしょうか。

    取得時の利用目的(取得後に変更した場合は変更後の利用目的)の範囲内で共同利用を行う必要がありますが、共同利用の利用目的の文言が一言一句完全に一致している必要はありません。
    もっとも、共同利用の利用目的のほうが実質的にはより広い意味を含むと解釈されれば、取得時の利用目的の範囲を超えるとの評価につながりますので、両者の文言を慎重に比較検討する必要があります。
    特に取得時の利用目的は、共同利用を念頭おいた文言になっていないことが多いため、文言の解釈の方向性に迷うことも多いところです。
    利用目的の範囲内かどうかを明確にするために、取得時の利用目的を合理的な範囲内で変更し、その後に共同利用を開始することも選択肢になります。(個人情報保護法17条2項)

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    この記事をシェアする

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。