$B8D?M>pJs$NJ]8n$K4X$9$kK!N'(B
私は3月の異動前まで委託先をやっている部門におりました。
まず、委託業者が目的通知の義務があるかという質問であれば、ありません。ただし、例外はあり得るとも考えます。
以下のような解釈をしております。たまたま、個人情報&委託で検索した結果出て来た2社のポリシーを並べます。
ここでダイキンさんが入手した個人情報をヤマト運輸さんに運んで貰っている途中、そのダイキンさんの個人情報に対してヤマト運輸さんに開示請求をしたらヤマト運輸さんは自己の判断で公開しなければならなくなります。
ここは法の22条
>個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
つまり、委託先の個人情報は委託元の管理下に置かれている個人情報であって委託先はその指示に基づいた委託元の目的達成のための必要な範囲においてお預かりしているだけと考えます。取得していない。委託について、委託元企業が通知している場合においてはそれ以上通知する必要はないと判断されます。(ダイキンさんの個人情報ガイドラインをご覧下さい)
例外は委託先が再委託をする場合。委託元が通知していない場合においては厳密には通知しなければならないと考えます。ただし、委託を通知していなかった場合には個人情報を取得したのは委託元ですから、本来は委託元から個人に対して通知するか、連名で通知するのが筋と考えます。再委託の場合は委託先から個人に対し、委託元の名称を一部使用した上で通知することになります。
受託業者は自社の個人情報保護施策が委託元のものより優れていようが、委託元の承認無しには委託元が定めた劣悪な個人情報保護施策の下で作業を行わなければならないという矛盾が発生しますが、法文上そうせざるを得ません(ここは余談です)
まずは前置き。私は素人ですが、業務的に避けれない話なのである程度は理解しているつもりです。
「取得」には該当しないと判断しますが、委託側が受託側を管理する責任がありますので、受託側で何か問題が発生すると個人情報保護法の観点からは委託側の責任が問われます。ただ、契約の際に委託側から受託側に対しての指示等があるでしょうから、*実運用上は*扱いに変わりはないと考えられます。
実運用上はわかるのですが、委託事業者に目的の通知公表義務が適用されるかどうかを知りたいというのが、本質問の主旨です。(18条1項関連)
まずはこちらをご覧になってみたらいかがでしょうか?
http://www.atmarkit.co.jp/fsecurity/rensai/privacy04/privacy01.h...
簡単で申し訳ないですが、ご参考まで。
法律、省庁ガイドライン、解説書などから一通りのことは理解しています。質問の主旨は、委託-受託に関わる契約や責任ではなく、受託者に目的通知公表義務が有るか無いかの”法律上の解釈”です。
$B8D?M>pJs$NJ]8n$K4X$9$kK!N'(B
私は3月の異動前まで委託先をやっている部門におりました。
まず、委託業者が目的通知の義務があるかという質問であれば、ありません。ただし、例外はあり得るとも考えます。
以下のような解釈をしております。たまたま、個人情報&委託で検索した結果出て来た2社のポリシーを並べます。
ここでダイキンさんが入手した個人情報をヤマト運輸さんに運んで貰っている途中、そのダイキンさんの個人情報に対してヤマト運輸さんに開示請求をしたらヤマト運輸さんは自己の判断で公開しなければならなくなります。
ここは法の22条
>個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
つまり、委託先の個人情報は委託元の管理下に置かれている個人情報であって委託先はその指示に基づいた委託元の目的達成のための必要な範囲においてお預かりしているだけと考えます。取得していない。委託について、委託元企業が通知している場合においてはそれ以上通知する必要はないと判断されます。(ダイキンさんの個人情報ガイドラインをご覧下さい)
例外は委託先が再委託をする場合。委託元が通知していない場合においては厳密には通知しなければならないと考えます。ただし、委託を通知していなかった場合には個人情報を取得したのは委託元ですから、本来は委託元から個人に対して通知するか、連名で通知するのが筋と考えます。再委託の場合は委託先から個人に対し、委託元の名称を一部使用した上で通知することになります。
受託業者は自社の個人情報保護施策が委託元のものより優れていようが、委託元の承認無しには委託元が定めた劣悪な個人情報保護施策の下で作業を行わなければならないという矛盾が発生しますが、法文上そうせざるを得ません(ここは余談です)
心情的には納得できるのですが、「取得していない」と言い切るには物足りません…。
JISQ15001:2006では、委託元から受け取る行為を取得と定義しており、目的通知公表義務が課せられるとしています(同意は不要)。従って、Pマークを取得するためには、経済産業省ガイドラインで示されている「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」といった利用目的を本人に通知または公表しなければならないことになります。(P事務局は個人情報保護法との整合性を維持するためだとの見解を示しています)
果たして本人不在の公表に意味があるのか、本当に法律が受託者の目的公表を求めているのか、そこが知りたいです。
# 開示請求に関しては「保有個人データ」該当するか否かが条件になりますので、今回の件とは直接関係無いように思います。
業務を受託する際に個人情報を受け取る行為が、個人情報保護法の「取得」に該当するのか・・・・という問いに対して
個人情報保護法の「取得」に該当します。
消費者の側から考えてみて下さい。
まさにこれが個人情報を渡すことであり、受託業者が取得する行為そのものです。
http://www.hr-plaza.com/webmagazine/law/page27.html
弁護士の見解など調べるまでもないと思いますが。。。
http://www.iajapan.org/rule/jinken2004.html
ちょっと私も理屈っぽくなってしまって・・・(笑)
失礼がありましたら、ごめんなさ~い。
いえいえ、ありがとうございます。
『「取得」に該当します』、多分答えはそうだろうなと思ってはいるのですが、紹介頂いたURLに委託者→受託者の個人情報の流れを「取得」と断じている箇所は見当たりませんでした。
欲しいのは、下記①、②のどちらが正解なのか、弁護士/省庁が示しているサイト(文献)です。
①受託者が委託元から個人情報を受け取る行為は「取得」に該当する。従って18条1項の適用を受けるため、利用目的を本人に通知・公表する義務を負う。
②受託者が委託元から個人情報を受け取る行為は「取得」には該当しない。従って、18条1項の適用は受けず、利用目的を本人に通知・公表する義務を負わない。
# 判例が出ないとなんとも言えない、と言っている弁護士さんの言葉でも○です。
前回はご希望の回答とならず、申し訳ございませんでした。
18条1項の「取得」に拘っておられるようですが、基本的に法律は一つの条文から解釈をする事はできず、それに関連する条文もあわせて見る必要があるかと思います。またそれは具体的な要件にも絡むので、今回もswakky 様にとってご満足される回答でなかったらごめんなさい。
個人情報保護法に関する弁護士の説明
http://www.aikeikyo.com/kaihotop/0411top.html
http://www.iajapan.org/rule/jinken2004.html
http://www.yfujita.jp/03/030617_pdpa.htm
※http://www.yfujita.jp/03/030617_pdpa.htmからの抜粋
(2)適正な取得
2番目の義務は、適正な取得をする義務ということですが、これは偽りその他不正の手段によって個人情報を取得してはならないということです(17条)。
個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知するか、あるいは公表しなければならばならないということになっています(18条1項。なお、3項・4項がある。)。
これについては一定の例外がありますが、先ほども触れましたように、ここでも「本人に通知し、又は公表しなければならない」わけです。これは一方的に行う通知ですから、本人が同意するとは限らないわけです。また、公表についても同様に、公表されていたとしても本人が気がつかないこともあるし、本人が同意していないこともあるわけですけれども、たとえそうであっても、この規定の解釈としては、個人情報取扱事業者が、個人情報の利用目的を本人に通知するか、あるいは公表すれば、個人情報取扱事業者の義務は果たしたということになるわけです。
また、契約書の締結その他に関して18条2項という別の条文がありますが、それはここでは省略しましょう。
個人情報保護法対策室 18条1項の解釈
http://www.nec-nexs.com/privacy/column/faq/2-12.html
以上、ご参考になれば幸いです。
心情的には納得できるのですが、「取得していない」と言い切るには物足りません…。
JISQ15001:2006では、委託元から受け取る行為を取得と定義しており、目的通知公表義務が課せられるとしています(同意は不要)。従って、Pマークを取得するためには、経済産業省ガイドラインで示されている「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」といった利用目的を本人に通知または公表しなければならないことになります。(P事務局は個人情報保護法との整合性を維持するためだとの見解を示しています)
果たして本人不在の公表に意味があるのか、本当に法律が受託者の目的公表を求めているのか、そこが知りたいです。
# 開示請求に関しては「保有個人データ」該当するか否かが条件になりますので、今回の件とは直接関係無いように思います。