業務を受託する際に個人情報を受け取る行為が、個人情報保護法の「取得」に該当するのか、解釈を示しているサイトを教えてください。(弁護士の見解だと助かります)

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/06/09 11:19:33
  • 終了:2006/06/12 10:05:19

ベストアンサー

id:Baku7770 No.3

Baku7770回答回数2832ベストアンサー獲得回数1812006/06/09 13:53:10

ポイント50pt

$B8D?M>pJs$NJ]8n$K4X$9$kK!N'(B

 私は3月の異動前まで委託先をやっている部門におりました。

 まず、委託業者が目的通知の義務があるかという質問であれば、ありません。ただし、例外はあり得るとも考えます。

 以下のような解釈をしております。たまたま、個人情報&委託で検索した結果出て来た2社のポリシーを並べます。

個人情報保護方針 | ダイキン工業株式会社

�l�����ی��|���V�[

 ここでダイキンさんが入手した個人情報をヤマト運輸さんに運んで貰っている途中、そのダイキンさんの個人情報に対してヤマト運輸さんに開示請求をしたらヤマト運輸さんは自己の判断で公開しなければならなくなります。

 ここは法の22条

>個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 つまり、委託先の個人情報は委託元の管理下に置かれている個人情報であって委託先はその指示に基づいた委託元の目的達成のための必要な範囲においてお預かりしているだけと考えます。取得していない。委託について、委託元企業が通知している場合においてはそれ以上通知する必要はないと判断されます。(ダイキンさんの個人情報ガイドラインをご覧下さい)

 例外は委託先が再委託をする場合。委託元が通知していない場合においては厳密には通知しなければならないと考えます。ただし、委託を通知していなかった場合には個人情報を取得したのは委託元ですから、本来は委託元から個人に対して通知するか、連名で通知するのが筋と考えます。再委託の場合は委託先から個人に対し、委託元の名称を一部使用した上で通知することになります。

 受託業者は自社の個人情報保護施策が委託元のものより優れていようが、委託元の承認無しには委託元が定めた劣悪な個人情報保護施策の下で作業を行わなければならないという矛盾が発生しますが、法文上そうせざるを得ません(ここは余談です)

id:swakky

心情的には納得できるのですが、「取得していない」と言い切るには物足りません…。

JISQ15001:2006では、委託元から受け取る行為を取得と定義しており、目的通知公表義務が課せられるとしています(同意は不要)。従って、Pマークを取得するためには、経済産業省ガイドラインで示されている「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」といった利用目的を本人に通知または公表しなければならないことになります。(P事務局は個人情報保護法との整合性を維持するためだとの見解を示しています)

果たして本人不在の公表に意味があるのか、本当に法律が受託者の目的公表を求めているのか、そこが知りたいです。

# 開示請求に関しては「保有個人データ」該当するか否かが条件になりますので、今回の件とは直接関係無いように思います。

2006/06/09 22:25:06

その他の回答(4件)

id:iwaim No.1

iwaim回答回数215ベストアンサー獲得回数192006/06/09 11:31:18

ポイント10pt

まずは前置き。私は素人ですが、業務的に避けれない話なのである程度は理解しているつもりです。

「取得」には該当しないと判断しますが、委託側が受託側を管理する責任がありますので、受託側で何か問題が発生すると個人情報保護法の観点からは委託側の責任が問われます。ただ、契約の際に委託側から受託側に対しての指示等があるでしょうから、*実運用上は*扱いに変わりはないと考えられます。

http://q.hatena.ne.jp/1149819572

id:swakky

実運用上はわかるのですが、委託事業者に目的の通知公表義務が適用されるかどうかを知りたいというのが、本質問の主旨です。(18条1項関連)

2006/06/09 11:38:00
id:kumonoyouni No.2

kumonoyouni回答回数612ベストアンサー獲得回数1312006/06/09 11:48:46

ポイント10pt

まずはこちらをご覧になってみたらいかがでしょうか?

http://www.atmarkit.co.jp/fsecurity/rensai/privacy04/privacy01.h...

簡単で申し訳ないですが、ご参考まで。

id:swakky

法律、省庁ガイドライン、解説書などから一通りのことは理解しています。質問の主旨は、委託-受託に関わる契約や責任ではなく、受託者に目的通知公表義務が有るか無いかの”法律上の解釈”です。

2006/06/09 12:51:05
id:Baku7770 No.3

Baku7770回答回数2832ベストアンサー獲得回数1812006/06/09 13:53:10ここでベストアンサー

ポイント50pt

$B8D?M>pJs$NJ]8n$K4X$9$kK!N'(B

 私は3月の異動前まで委託先をやっている部門におりました。

 まず、委託業者が目的通知の義務があるかという質問であれば、ありません。ただし、例外はあり得るとも考えます。

 以下のような解釈をしております。たまたま、個人情報&委託で検索した結果出て来た2社のポリシーを並べます。

個人情報保護方針 | ダイキン工業株式会社

�l�����ی��|���V�[

 ここでダイキンさんが入手した個人情報をヤマト運輸さんに運んで貰っている途中、そのダイキンさんの個人情報に対してヤマト運輸さんに開示請求をしたらヤマト運輸さんは自己の判断で公開しなければならなくなります。

 ここは法の22条

>個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 つまり、委託先の個人情報は委託元の管理下に置かれている個人情報であって委託先はその指示に基づいた委託元の目的達成のための必要な範囲においてお預かりしているだけと考えます。取得していない。委託について、委託元企業が通知している場合においてはそれ以上通知する必要はないと判断されます。(ダイキンさんの個人情報ガイドラインをご覧下さい)

 例外は委託先が再委託をする場合。委託元が通知していない場合においては厳密には通知しなければならないと考えます。ただし、委託を通知していなかった場合には個人情報を取得したのは委託元ですから、本来は委託元から個人に対して通知するか、連名で通知するのが筋と考えます。再委託の場合は委託先から個人に対し、委託元の名称を一部使用した上で通知することになります。

 受託業者は自社の個人情報保護施策が委託元のものより優れていようが、委託元の承認無しには委託元が定めた劣悪な個人情報保護施策の下で作業を行わなければならないという矛盾が発生しますが、法文上そうせざるを得ません(ここは余談です)

id:swakky

心情的には納得できるのですが、「取得していない」と言い切るには物足りません…。

JISQ15001:2006では、委託元から受け取る行為を取得と定義しており、目的通知公表義務が課せられるとしています(同意は不要)。従って、Pマークを取得するためには、経済産業省ガイドラインで示されている「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」といった利用目的を本人に通知または公表しなければならないことになります。(P事務局は個人情報保護法との整合性を維持するためだとの見解を示しています)

果たして本人不在の公表に意味があるのか、本当に法律が受託者の目的公表を求めているのか、そこが知りたいです。

# 開示請求に関しては「保有個人データ」該当するか否かが条件になりますので、今回の件とは直接関係無いように思います。

2006/06/09 22:25:06
id:nana109 No.4

nana109回答回数695ベストアンサー獲得回数132006/06/09 14:30:57

ポイント20pt

業務を受託する際に個人情報を受け取る行為が、個人情報保護法の「取得」に該当するのか・・・・という問いに対して

個人情報保護法の「取得」に該当します。

消費者の側から考えてみて下さい。

まさにこれが個人情報を渡すことであり、受託業者が取得する行為そのものです。

http://www.hr-plaza.com/webmagazine/law/page27.html

弁護士の見解など調べるまでもないと思いますが。。。

http://www.iajapan.org/rule/jinken2004.html

ちょっと私も理屈っぽくなってしまって・・・(笑)

失礼がありましたら、ごめんなさ~い。

id:swakky

いえいえ、ありがとうございます。

『「取得」に該当します』、多分答えはそうだろうなと思ってはいるのですが、紹介頂いたURLに委託者→受託者の個人情報の流れを「取得」と断じている箇所は見当たりませんでした。

欲しいのは、下記①、②のどちらが正解なのか、弁護士/省庁が示しているサイト(文献)です。

①受託者が委託元から個人情報を受け取る行為は「取得」に該当する。従って18条1項の適用を受けるため、利用目的を本人に通知・公表する義務を負う。

②受託者が委託元から個人情報を受け取る行為は「取得」には該当しない。従って、18条1項の適用は受けず、利用目的を本人に通知・公表する義務を負わない。

# 判例が出ないとなんとも言えない、と言っている弁護士さんの言葉でも○です。

2006/06/09 22:24:54
id:kumonoyouni No.5

kumonoyouni回答回数612ベストアンサー獲得回数1312006/06/10 15:40:19

ポイント10pt

前回はご希望の回答とならず、申し訳ございませんでした。

18条1項の「取得」に拘っておられるようですが、基本的に法律は一つの条文から解釈をする事はできず、それに関連する条文もあわせて見る必要があるかと思います。またそれは具体的な要件にも絡むので、今回もswakky 様にとってご満足される回答でなかったらごめんなさい。


個人情報保護法に関する弁護士の説明

http://www.aikeikyo.com/kaihotop/0411top.html

http://www.iajapan.org/rule/jinken2004.html

http://www.yfujita.jp/03/030617_pdpa.htm


http://www.yfujita.jp/03/030617_pdpa.htmからの抜粋

(2)適正な取得

 2番目の義務は、適正な取得をする義務ということですが、これは偽りその他不正の手段によって個人情報を取得してはならないということです(17条)。

 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知するか、あるいは公表しなければならばならないということになっています(18条1項。なお、3項・4項がある。)。

 これについては一定の例外がありますが、先ほども触れましたように、ここでも「本人に通知し、又は公表しなければならない」わけです。これは一方的に行う通知ですから、本人が同意するとは限らないわけです。また、公表についても同様に、公表されていたとしても本人が気がつかないこともあるし、本人が同意していないこともあるわけですけれども、たとえそうであっても、この規定の解釈としては、個人情報取扱事業者が、個人情報の利用目的を本人に通知するか、あるいは公表すれば、個人情報取扱事業者の義務は果たしたということになるわけです。

 また、契約書の締結その他に関して18条2項という別の条文がありますが、それはここでは省略しましょう。


個人情報保護法対策室 18条1項の解釈

http://www.nec-nexs.com/privacy/column/faq/2-12.html


以上、ご参考になれば幸いです。

  • id:swakky
    http://www.meti.go.jp/policy/it_policy/privacy/q&a.htm

    経産省のガイドラインにそれらしい記述を発見しました。Q71にJISQ15001(1996)との相違に対する回答で『JISには、委託先における個人情報の利用目的の本人への通知又は公表義務がない点などに違いがあります。』とあります。つまり、個人情報保護法では、委託先において利用目的の”本人への通知又は公表義務がある”ということですね。
  • id:Baku7770
     いるか賞&ポイントありがとうございました。
     
     私宛コメント及び他の方の回答に回答或いはコメント致します。
    >ここでダイキンさんが入手した個人情報をヤマト運輸さんに運んで貰っている途中、そのダイキンさんの個人情報に対してヤマト運輸さんに開示請求をしたらヤマト運輸さんは自己の判断で公開しなければならなくなります。
     
     これは解りづらい表現でした。というより、内容に欠如がありました。ここは、コメントして頂いた内容
     
    >開示請求に関しては「保有個人データ」該当するか否かが条件になりますので、今回の件とは直接関係無いように思います。
     
     と合わせて、
     
    >ここでダイキンさんが入手した個人情報の運送をヤマト運輸さんに委託した場合、それがヤマト運輸さんの保有個人データであると考えるなら、そのダイキンさんの個人情報に対してヤマト運輸さんに開示請求をしたら、ヤマト運輸さんは自己の判断で公開しなければならなくなります。つまり、その個人情報はヤマト運輸さんの保有個人情報ではありません。よってヤマト運輸さんの個人情報保護ポリシーの対象ではないと考えるべきです。ヤマト運輸さんには通知義務はありません。
     
     JISQ15001:2006のどの条項をご覧になられてのコメントかが判りません。『委託』で文中を検索した限りにおいては
    3.4.2.4 委託が予定される場合にはその旨を取得時に通知
    3.4.2.6 国あるいは地方公共団体の委託は通知義務がない
    3.4.2.7 事前に通知してある利用目的を達成する範囲内であれば通知義務がない
    3.4.2.8 事前に通知してある利用目的を達成する範囲内であれば通知義務がない
    3.4.3.4 委託先の監督条項
    であって、確かに委託時の取得ととれないことはありませんが、3.4.2.7にあるとおり、委託元が事前に通知している利用目的の範囲である限り、委託先には通知義務がないと考えます。同時に、委託先に通知義務が生じる委託は事前に通知している利用範囲外になりますので、その時点で委託元にも通知義務が発生します。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません