MAGAZINE マガジン

（企業家倶楽部2010年12月号掲載）

　個人情報保護法が完全施行されてから５年が経ちましたが、まだまだ正確に理解されていないようです。そこで、しばしば相談される事項について説明します。

（相談） 　顧客データのデータベース化やシステムへのインストールなどを外部の業者に委託し、その業者に顧客の個人情報を開示するためには、個人情報の第三者への提供として、その個人情報の本人の承諾が必要なのでしょうか。

（回答） 　個人情報保護法は、個人情報取扱事業者は、あらかじめ本人の同意を得なければ、原則として、第三者に個人データを提供してはならないとしています（法23条）。

　しかし、この相談のように、個人データの処理をアウトソーシングすることは、第三者提供の範疇に含まれず、本人の同意は不要です。この場合の外部の事業者は、委託する企業の手足となって事務作業をするのであり、開示を受けた個人情報を独立した立場の事業者として利用するわけではないからです。

　個人情報保護法は、個人情報取扱事業者が、個人データの取扱いを外部に委託するケースを想定して、そのような場合には、委託先に対する必要かつ適切な監督を行わなければならないと定めています（法22条）

　つまり、第三者提供の範疇には含めないで、その代わり、個人情報取扱事業者に対して、アウトソーシング先への監督義務を負わせて、本人の権利が守られるような仕組みにしているのです。

　万一、委託先が預かった情報を漏洩し、個人情報の本人が個人情報取扱事業者に対して民事上の損害賠償請求訴訟を起こすと、裁判所は、委託先の故意・過失を、原則として委託を行った個人情報取扱事業者のそれと同視します。

　業務を行うにあたって、委託先を手足のように利用しているのだから、手足が行った不始末は、指示を行った本体部分も責任を取りなさいということです。このように、自社の内部で、個人情報について適切な管理をしていたとしても、免責されないので、委託先の選択は慎重に行う必要があります。

　グループ企業間で、個人情報を共同利用する場合も、第三者提供の範疇ではないとされています。ただし、共同利用に関する個人情報保護法のルールを守ることが必要です。

（相談） 　社員から自分に対する勤務評定についての開示を求められた場合、これを開示しなければならないのでしょうか。

（回答） 　個人情報取扱事業者は、本人から保有個人データの開示請求があったときは、原則として、書面あるいは本人の同意する方法によって、その保有個人データの有無と内容を開示しなければなりません。

　しかし、これには例外があり、本人や第三者の権利を害するおそれがある場合、個人情報取扱事業者の業務の適正な実施に著しい支障がある場合、他の法令に違反する場合、という理由で、開示を断ることができます（法25条１項１の３号）。

　社員の勤務評定を開示しなければならないとすると、勤務評定の内容に対する攻撃がなされたり、評価が萎縮したりして、その適正な実施が妨げられるおそれがありますので、開示しないことができます。

個人情報取扱事業者とは：過去６ヶ月以内のいずれかの日に、合計５０００人以上の氏名や住所などの個人情報を、エクセルや宛名管理ソフトのようなデータベースソフトや、紙ベースであっても50音順などの、検索容易な形でファイル管理している事業者のことです。個人情報保護法は、このような個人情報取扱事業者を対象としたルールです。多くの企業は、従業員、顧客、取引先などのデータベースを管理しているので、これに該当すると思われます。

Profile

古田利雄

ベンチャー企業の創出とその育成をメインテーマに、１００社近い企業の法律顧問、上場会社の役員として業務を行う傍ら、ロースクールで会社法の講座を担当している。平成３年弁護士登録。東京弁護士会所属。