個人データの流通場面として現実に多く使われているのが「委託」（個人情報保護法23条5項1号）だが，日ごろからよく聞かれる質問について，個人情報保護委員会のQ&Aに追記されていた。

 

 

このガイドラインとQ&Aは，昨年(2018年)12月に変更されていたのだが，私はこの部分に関する変更に気づいておらず，Business Law Journalの8月号54頁の田中浩之先生ら「個人データの取扱いの委託と共同利用の最新実務」にて紹介されて知った。なので，詳細は，こちらの解説記事をご覧いただくとして，その概要だけ紹介する。

 

追加されたのは，委託になる場合，ならない場合についての説明，事例である。

ガイドライン*1では，

（1）委託（法第 23 条第 5 項第 1 号関係）
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。

 となっていたところ(51頁)，それの具体例として，Q&A*2では，

（第三者に該当しない場合）
Ｑ５－26－２ ガイドライン（通則編）３－４－３の「（1）委託（法第 23 条第５項第１号関係）」に、個人情報保護法上委託に該当しない場合として記載されている「委託された業務以外に当該個人データを取扱う」事例としては、どのようなものがありますか。
Ａ５－26－２ 次のような事例が考えられます。
事例１）個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合
事例２）複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合

が挙げられている。

 

「委託」の形式でデータを受渡する場合，本人同意が必要ないため，利用する企業としては都合がよい。また，受託側の企業としても，せっかくデータを預かったのだから，何か有意義な使い道はないかと考えてみたくなるところではある。しかし，委託された業務の範囲を超えて利用することは当然に許されておらず（同意を得て第三者提供するのであれば別），このガイドラインやQ&Aの変更はいわば当然のことを明らかに過ぎないわけだが，意外に「（受託者にとっての）ギリギリの利用範囲」を探る問い合わせが少なくない。

 

今回の特徴的なQ&Aは，上記の「事例２」である。受託者（委託先）Xが，A，B，Cの複数者から個人データの取扱いを委託され，それを一つのデータベースに入れた上で，例えば，A，B，C社のそれぞれのサービス利用状況をクロスで分析することは許されない。たとえ，A社から，「同業のデータをそちらでお持ちでしたらそれらとのデータを突合して分析してください」という委託があったとしてもである。

Q&Aでもそこまで明確に書いているわけではなく「混ぜて取り扱っている」ことだけをNGとしているが，その趣旨はデータを突合させたりすることを禁ずる趣旨だろう。

この点は，前掲田中解説でも次のように述べている。

そもそも，個人情報保護法上の個人データの取扱いの委託とは，契約の形態・種類を問わず，個人情報取扱事業者が他の者に（自らの）個人データの取扱いを行わせることであるから，委託元が，本来，自らがやろうと思えば，できるはずの行為を委託先に依頼することである。

 よって，委託元が，委託先が有している個人情報を間接的に利用することはできないと考えるべきであろう。