後輩弁護士向けに所内セミナーを実施したのですが、その過程でいろいろと発見(あるいは思いつき)があったのでメモしていきます。
前提
- 個情法27条1項は、第三者提供の同意原則を定めている。同条は、利用目的による制限を定める18条1項の特則であり(園部藤原196頁)、個人データの同意なき第三者提供は、本人の予期しないところで個人データが利用されたり、他のデータと結合されるなどして、本人に不測の権利利益侵害を及ぼすおそれが高まるところ、それを防ぐ趣旨とされている(園部藤原197頁)。
- 個情法27条5項は、個人データ取扱いの委託に伴う第三者提供、事業の承継に伴う個人データ提供、共同利用者に対する個人データ提供の場合に、各受領者を第三者に当たらないものとするものである。その理由は、これらの場合には、各受領者は、取扱いの態様、本人の権利利益侵害のおそれの程度等からみて、提供者と一体のものとして捉えることが適当かつ合理的だからとされている(園部藤原213頁)。
- 上記の一体性から、委託においては、受託者による独自利用と、異なる委託者から提供を受けた個人データを混ぜることないし受託者が独自に取得した個人データを突合すること(長いので「受託者による混合・突合」と呼ぶことにする)は禁止されると解されている(最前線第2回64頁)。
- 受託者による独自利用としては、①受託者が自社の営業活動のために利用すること(QA7-37事例1)、②自社のために統計情報に加工して利用すること(QA7-38)、③委託に伴って提供された個人データを利用して取得した個人データを自社のために利用すること(QA7-40)が挙げられている。
- 受託者による混合・突合としては、④受託者が複数の異なる委託者の個人データを混ぜて取り扱うこと(QA7-37事例2)、⑤受託者が独自に取得した個人データと本人ごとに突合すること(QA7-41)が挙げられている。これらは「混ぜるな危険」の法理として知られている。
個人情報保護法27条5項1号の趣旨について
- 上記のとおり、従来、個情法27条5項1号の解釈にあたっては、委託関係→一体性→第三者からの除外→(一体性に基づく)受託者による独自利用・異なる委託者から提供された個人データを混ぜることないし受託者が独自に取得した個人データを突合することの禁止というロジックの流れが取られることが多かった。
- つまり、委託は一体だから第三者から除外されているのであり、そうである以上、独自利用・委託者ができない利用は禁止されるというものである。
- しかし、実際には、委託→受託者による独自利用の禁止→第三者からの除外というロジックの流れが適切なのではないか。
- つまり、委託というのは私法上の法律関係であり、受託者による独自利用の禁止は、業務委託契約に基づく善管注意義務から導かれる(ちなみにその善管注意義務の中身は、忠実義務と言ってもよい)。その上で、受託者の個人情報の利用目的が業務委託契約によって自動的に定まることを通じて(園部藤原147頁)、個情法18条1項の目的外利用の禁止によって規制法上もenforceされるのである。
- そうすると、上記のロジックの流れ、つまり、「個人データの取扱いが委託される場合、受託者は、委託者との契約に基づき、委託の趣旨に沿ってのみ個人データを取り扱う義務を負っており、委託者と一体と評価することができるから、第三者提供規制の対象から除外することに合理性がある」という説明が適切なのではないかと思われるのである。
- なお、このように考えると、委託に関する規定が安全管理の箇所と第三者提供の箇所に散らばって、かつ、断片的(≒非網羅的)に規定されている(その結果、解釈に委ねられている部分が多い)ことも自然に見えると思われる。つまり、個情法が委託を専ら第三者提供規制の適用除外事由として位置づけていることは一見不合理にも見えるが、まず委託者と受託者の間の私法上の関係があり、その関係が利用目的による制限などの規定の適用に影響することを認めつつ、特に明文の規定を置く必要がある箇所に限って規定を置いたのではないかと思われる(とはいえ、受託者による目的外利用の禁止については委託者に監督義務を課さず、安全管理についてはそれを課していることの合理的説明は困難なのではないかとも思われる)。
受託者による混合・突合の禁止の根拠
- 一方、受託者による混合・突合の禁止は、委託者―受託者間の業務委託契約からは導かれない(し、一体性からも導かれない)。ではその根拠は何か。これについては、委託者と受託者について分けて考える必要がある。
- すなわち、
- 受託者においては、第三者提供規制違反となる(最前線第2回67頁)。
- 委託者においては、受託者にそのような混合・突合を行わせていたり、受託者がそれらの混合・突合を行っていることを知りながら放置していた場合には、「取得の委託」(最前線第2回64頁)の方法で、提供者における第三者提供違反を知りながら個人情報を取得したものとして、適正取得義務違反となると思われる。
- ここでは、AとBがそれぞれCに個人データの取扱いを委託している場合における①Aからの受託者としてのC(CforAと呼ぶことにする)、②Bからの受託者としてのC(CforBと呼ぶことにする)、③独立の個人情報取扱事業者としてのC(CforCと呼ぶことにする)は区別され(ダブルハットないしトリプルハット。Guidelines 07/2020 on the concepts of controller and processor in the GDPRのpara. 66も参照)、Cが②や③の資格で取り扱う個人データをAからの受託業務のために利用することは、CにおいてはCforBないしCforCからCforAへの第三者提供、Aにおいては「取得の委託」の方法による第三者提供の受領に当たると解釈することになる(そのように解することができるのではないか)。
- (個情法は財産法ではないのでアナロジーには慎重になる必要があるものの)信託において同一の受託者が複数の信託の設定を受けた場合に、分別管理義務が課され、異なる信託財産間の取引が(法人格単位では自己取引でありながら)異なる主体間の取引と同様に扱われるのと似ている。
- ここでは、AとBがそれぞれCに個人データの取扱いを委託している場合における①Aからの受託者としてのC(CforAと呼ぶことにする)、②Bからの受託者としてのC(CforBと呼ぶことにする)、③独立の個人情報取扱事業者としてのC(CforCと呼ぶことにする)は区別され(ダブルハットないしトリプルハット。Guidelines 07/2020 on the concepts of controller and processor in the GDPRのpara. 66も参照)、Cが②や③の資格で取り扱う個人データをAからの受託業務のために利用することは、CにおいてはCforBないしCforCからCforAへの第三者提供、Aにおいては「取得の委託」の方法による第三者提供の受領に当たると解釈することになる(そのように解することができるのではないか)。
- 一方、
- 複数の異なる委託者から提供された個人データを混合・突合するのか、それとも委託者から提供された個人データと受託者が独自に取得した個人データを混合・突合するのかは、(上記のとおり前者のケースでも第三者提供規制が利用目的による制限に優先する結果)あまり意味を持たない。
- また、QAは「混ぜる」と「突合する」という言葉を使っているが、これらの違いはあまり意味を持たない。すなわち、「混ぜる」とはデータベースで言うとレコード(=行)を増やすこと(SQLのUNIONによる操作)であり、「突合する」とはフィールド(=列)を増やすこと(SQLのJOINによる操作)であるが、ある業務委託に伴って提供された個人データを別の受託業務のために(あるいは独立の個人情報取扱事業者として取得した個人データを受託業務のために)利用することが問題なのであり、この観点からすれば、上記の違いは結論に影響しない。
- なお、先に見た受託者による独自利用と、この受託者による混合・突合は、相互に排他的ではない。つまり、独自利用のために混合・突合することはありうる。上記のとおり、混合(「混ぜる」)と突合を区別する実益はないことも考慮すれば、受託者による混合・突合は、「委託者にできない利用の禁止」あるいは「委託とは無関係に取得した個人データの利用の禁止」と整理し直すのが適切なのではないか(なお、これらは、結局のところ、第三者提供規制に違反することの禁止を言っているにすぎない。前者はGDPRのProcessorっぽさ(on behalf of the controller)が強調されるかもしれない)。
