更新日: 2019.01.10 その他
知らぬ間に個人情報が第三者に!同意なしに第三者提供ができてしまう4つのケースとは
2017年5月30日に施行された個人情報保護法の改正法では、個人情報取扱事業者の範囲が個人データ保有5000人以下の事業者にも拡大され、個人情報を含む名簿などを有する全ての事業者が適用対象となりました。
つまり、個人事業主、町内会・自治会、マンションの管理組合、学校の同窓会までも適用対象となったのです。
さらに、個人情報であるマイナンバーの使用も本格化してきており、各人が個人情報の取り扱い方法やそのリスクについて、再度認識すべき時期にあるのではないでしょうか?
Text:高橋庸夫(たかはし つねお)
ファイナンシャル・プランナー
住宅ローンアドバイザー ,宅地建物取引士, マンション管理士, 防災士
サラリーマン生活24年、その間10回以上の転勤を経験し、全国各所に居住。早期退職後は、新たな知識習得に貪欲に努めるとともに、自らが経験した「サラリーマンの退職、住宅ローン、子育て教育、資産運用」などの実体験をベースとして、個別相談、セミナー講師など精力的に活動。また、マンション管理士として管理組合運営や役員やマンション居住者への支援を実施。妻と長女と犬1匹。
本人同意のない第三者提供の4つの例外
個人情報を不特定の第三者に提供する際には、あらかじめ本人の同意を得るのが原則(個人情報保護法第23条1項)です。しかし、一部例外もあることを理解しましょう。
1.オプトアウト
あらかじめ本人に必要事項を通知等するとともに、本人からの求めに応じて第三者への提供を停止することを条件とする方法をオプトアウト(個人情報保護法23条2項)といいます。代表例は住宅地図や電話帳などです。
個人データの取り扱い数が膨大で事前に本人の同意を得ることが現実的でないものが該当します。
2.共同利用
あらかじめ範囲を定めた特定の者との間で共同利用する場合で、必要事項をあらかじめ本人に通知等していることが条件となります。代表例は、グループ企業内、親子兄弟会社の間での共同利用などです。
3.業務委託
個人情報の利用目的を達成することを範囲として、個人データの取り扱いの一部または全部を委託する場合の委託事業者への業務委託は第三者提供に当たらないとされています。
代表例は、宅配事業者や印刷事業者への委託、そして、今回の日本年金機構の事例のような情報処理事業者へのデータ処理の委託などです。
つまり、日本年金機構の事例で仮に再委託禁止の契約がなかった場合は、本人の同意無しに全く知らない再委託先の第三者が入力作業を受託することも可能だということです。
4.事業承継
事業者間の合併・分社化・事業譲渡等による事業の承継により、事業承継先に対して個人データが提供される場合は、第三者提供に当たらないとされています。
罰則もあり!個人情報漏えいのリスク
個人情報取扱事業者は、法の定める義務に違反し、この件に関する個人情報保護委員会の改善命令にも違反した場合、「6カ月以下の懲役または30万円以下の罰金」の刑事罰が科せられます。
また、企業においては、個人情報保護漏えい事故の公表によって、企業イメージそのものに重大なダメージを受けます。
加えて、漏えいした個人情報の本人に実被害がない場合でも、漏えいしたという事実による損害賠償民事訴訟のリスクが発生します。これらによって、大規模漏えい事故の場合は巨額(総額)の賠償金支払いに直面する可能性もあります。
まだ記憶に新しいベネッセ顧客の情報漏えい事故(平成26年7月)では、顧客である3504万人に1人当たり500円(金券等)が用意されています。
企業としての補償金額総額は、莫大(ばくだい)な金額となります。ご承知かと思いますが、この事件の顚末は、ベネッセが顧客情報に関するデータベースの運用や保守管理を委託していた会社に勤務する派遣社員が、個人情報を名簿業者に販売していたとのことです。
他の情報漏えい事故の事例を見ても1人当たりの慰謝料は平均でも1万円程度と少額ですが、企業全体への影響は多大なダメージとなります。昨今では、これらのリスクに対して大手損保会社や商工会議所などで「個人情報漏えい賠償責任保険」が取り扱われています。
Text:高橋 庸夫(たかはし つねお)
ファイナンシャル・プランナー,住宅ローンアドバイザー ,宅地建物取引士, マンション管理士, 防災士