後輩弁護士向けに所内セミナーを実施したときの個人的メモその2です(その1:個情法27条5項1号の趣旨/受託者による混合・突合の禁止の根拠 - Mt.Rainierのブログ)。
第三者提供、委託、共同利用は、EU法と日本法でかなり問題状況が異なっており、それゆえに日本固有の論点がいろいろとあるところなのですが、そのあたりがまとまっている文献が見当たらなかったので、書いてみます。
前提
- 第三者提供
- 共同利用
GDPRのJoint controlと個情法の共同利用
- EU法のJoint Controllerは、サプライチェーンの複雑化に対応し、Controllerに漏れのない義務を課すための概念である(共同正犯に近い)のに対し、日本法の共同利用は、第三者提供規制の除外事由である。そのため、事業者から見れば、(少なくとも権利義務という観点からは)joint controlは狭いほうが望ましいのに対し、共同利用は広いほうが望ましい。
- Fashion ID事件では、ECサイトの運営者であるFashion IDが、Facebookのソーシャルプラグインを埋め込んでいた事案で、Fashion IDに対する(消費者団体による)差止請求との関係で、Fashion IDがControllerに当たるかどうかが問題となった。CJEUは、ソーシャルプラグインは個人データを収集するものであることを前提に、Fashion IDはそのことを認識した上で、自らそれを設置したこと、それにより広告最適化による商業的利益を得ていることを根拠として、Joint controllerであることを認めた(TMIの野呂先生による日本語の解説も参照)。
- なお、(joint) controller該当性は、特定の処理活動との関係で決せられ、一連の処理活動のうち一部が共同決定の対象となっているにすぎない場合、他の処理活動についてまでJoint controllerとして責任が課されるわけではない(Fashion ID判決、Guidelines 07/2020 on the concepts of controller and processor in the GDPRのpara. 57以下)。
- 日本では、個人情報保護委員会が、2018年、ソーシャルプラグインに関し、Facebook Incに対し行政指導を行い、また、サイト運営者に対しソーシャルプラグインの挙動についてプラポリに記載する等すべき旨の注意喚起を行っている。しかしながら、日本では「氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie等」は識別性がないとされているので(令和2年一問一答62頁、64頁)、サイト運営者にとってソーシャルプラグインを通じて収集される情報は個人情報ではない。また、サイト運営者は、情報を外部に送信するプログラムを設置しているにすぎず、自ら情報を取得しているわけではないので(令和2年電通法改正の立案担当者解説38頁以下)、(個人)情報の「取扱い」を行っていないと整理されているものと思われる。Facebook Incに対する行政指導は、Facebookユーザーに関する限りで個人情報の「取扱い」を行っていることから行われたものであり、サイト運営者に対する注意喚起は、規制権限に基づかずに行われたものと思われる(なお、この種の送信は、現在では電通法27条の12で規制されている)。
共同利用の限界
- ところで、前回の記事で、「委託の場合、一体性を理由として第三者提供規制における第三者から除外されているのだから、一体性を逸脱することとなる受託者による独自利用が禁止される」のではなく、「委託においては(私法上)受託者による独自利用が禁止されるのであるから、一体性が認められ、第三者提供規制における第三者から除外されている」というのが正しいのではないか、という趣旨のことを述べた。
- 共同利用は委託と並んで第三者提供規制における第三者から除外されているところ、上記のロジックを応用すると、契約、株主権等を通じたコントロールが及ぶ共同利用者であって初めて第三者から除外されるべきという解釈もありうるのではないか。GL通則編3-6-3が「グループ企業で総合的なサービスを提供するために取得時の利用目的…の範囲内で情報を共同利用する場合」、「親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合」、「使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合」という比較的保守的な事例を挙げていることは、このことと整合する。