グループ会社間で個人情報を共同利用する際の注意点は?提供記録や管理方法は?
グループ親会社から弊社を含むグループ会社が個人情報を共同利用する旨のメッセージを、グループ親会社のホームページ上に公開しています。
グループ親会社から第三者提供を受けた弊社が、その個人情報を利用する場合の注意点などあったら教えて下さい。
「個人情報収集管理台帳」「個人情報管理台帳」「業務フロー」による管理は、必要と考えています。
また、逆に、弊社が取得した個人情報を、グループ各社に第三者提供する場合、主体個人の同意を取り、個人情報を管理することとなりますが、注意点などを教えて下さい。
親会社が「共同利用」を公表しているケースと、貴社が「第三者提供」を行うケースでは、必要な手続きが大きく異なります。それぞれの注意点を整理して解説します。
1. 親会社から「共同利用」としてデータを受け取る際の注意点
「共同利用」は法律上、提供先が「第三者」に該当しないとみなされる仕組みです。そのため、基本的には本人の個別の同意なしにデータを受け取ることができますが、以下の点に厳重な注意が必要です。
- 「共同利用の範囲」の厳守
親会社のHP等で公表されている「利用目的」や「利用する項目の範囲」を1文字でも超えてはなりません。もし貴社独自の目的(例:グループ全体の目的にはない、貴社固有の販促活動など)で利用したい場合は、改めて貴社が本人から直接同意を得る必要があります。 - 管理台帳への反映(Pマーク審査のポイント)
ご認識の通り、「個人情報管理台帳」や「業務フロー」への記載は必須です。特にPマーク運用では、入手経路を「共同利用(提供元:親会社)」と明確にし、親会社が公表している内容と貴社の台帳上の利用目的が整合していることを審査員に示せるようにしてください。
2. 貴社からグループ各社へ「第三者提供」を行う際の注意点
貴社が取得した情報を他社(グループ会社含む)へ渡す場合、以下の手続きが必要です。
- 「同意」か「共同利用の公表」かを選択する
原則は、取得時に本人から「〇〇社(またはグループ各社)に提供します」という旨の書面による同意を得る必要があります。
ただし、あらかじめ「共同利用」の規定(利用目的、共同利用者の範囲、責任者名など)を本人に通知、または容易に知り得る状態(HPへの掲載等)に置いている場合は、個別の同意なしで提供可能です。 - 「第三者提供」特有の記録義務
個人情報保護法により、第三者提供を行う際は「いつ、誰に、どのような情報を渡したか」という提供記録の作成・保存(原則3年間)が義務付けられています。これは通常の収集同意とは異なる、非常に重要な事務作業ですので、漏れのないよう管理台帳や専用の記録簿で運用してください。
3. 【訂正と補足】オプトアウトによる対応について
「オプトアウトによる対応」については、Pマーク(JIS Q 15001)の運用においては非常にハードルが高くなっています。
- Pマークにおける制限:
特定の要件(要配慮個人情報を含まない、個人情報保護委員会への届出済み等)を満たす必要がありますが、一般企業がグループ間共有のためにオプトアウトを選択することは、実務上の手続きが煩雑になるため推奨されません。 - 推奨される対応:
可能な限り「取得時の同意」または「共同利用のスキーム」を活用することをお勧めします。
実務へのアドバイス
親会社と貴社で、利用目的の表現にわずかな「ズレ」があるだけでも指摘の対象となります。
弊社の「プライバシーマーク サンプル文書集」に含まれる個人情報管理台帳や業務フローのテンプレートを活用し、データの「入口」から「出口」までを一気通貫で可視化することで、審査時の説明が格段にスムーズになります。
