こんにちは、前田です。
今回は、個人情報取扱事業者が個人データを第三者に提供したい場合について、ご説明します。
個人データは、原則として本人の同意を得ないと第三者に提供することはできません。勝手に第三者に提供できるとしたら、個人データの取得時に通知・公表等を求めたり、利用目的を定めさせる意味がないので、当然ですね。
もっとも、「原則として」と言いましたように、ここにも例外があります。この例外は、「個人情報保護法Ⅲ」のブログの2で紹介した例外と同じです。
では、常に本人の同意を得ないといけないのでしょうか。いちいち本人の事前同意が必要ということになれば、会社の機動力が失われ、会社の信用にもかかわりかねません。
実際には、「オプトアウト」(個人情報保護法23条2項)という規定を使うのが便利だと思います。
オプトアウトとは、個人データの第三者への提供にあたり、あらかじめ以下の①から④までの事項をすべて本人に通知するか、本人が容易に知りうる状態に置いておくと共に、本人の求めに応じて第三者への提供を停止することを言います。
① 第三者への提供を利用目的とすること
・・・・個人情報を取得する時点で、第三者提供の予定があるのであれば、あらかじめ利用目的に入れておくとよいと思います。
② 第三者に提供される個人データの項目
Ex)氏名・住所・電話番号
Ex)氏名・商品購入履歴
③ 第三者への提供の手段又は方法
Ex)インターネットに掲載
Ex)プリントアウトして交付等
④ 本人の求めに応じて第三者への提供を停止すること
です。インターネットが普及している現在では、プライバシーポリシーにこれを規定してインターネットで公表しておく場合が多いのではないでしょうか。
上記定めをしておけば、会社としては本人から停止の求めがない限りは、本人の同意を得ることなく個人データを第三者に提供することができるのです。
この際、④第三者への提供を停止してほしい本人が、どこに連絡をすればよいのか分かるように、会社の窓口・電話番号等についても規定しておきましょう。
会社内部では、停止を求められた際の申請書類の書式や対応方法をあらかじめ決めておくとよいかもしれません。
弁護士 前田瑞穂