Pマークの同意書における「第三者提供」の範囲は、個人データに限定して考えてよいでしょうか?
PMS「個人情報に関する同意書」についてご教示ください。
「3)第三者提供について」について記載義務があるのは、「個人情報」ではなく「個人データ」を第三者に提供する場合、と考えてよろしいでしょうか。
「個人情報」を第三者に提供する場合には、本人の同意は不要と認識しておりましたため、念のため確認させていただきます。
結論から申し上げますと、法令上の義務は「個人データ」が対象ですが、Pマーク運用においては「個人データ」化される前の「個人情報」についても、リスクアセスメントの結果次第で同意(第三者提供の制限)が必要になります。
1. 法令上の原則(個人情報保護法 第27条)
ご認識の通り、個人情報保護法第27条では「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と定められています。
「個人データ」とは、検索可能な状態で体系的に構成されたデータベース等に含まれるものを指します。そのため、法律の厳密な解釈のみであれば、データベース化されていない単なる「個人情報」の段階では、第三者提供の同意は必須ではありません。
2. JIS Q 15001:2023 における重要な変更点
しかし、Pマークの準拠規格である「JIS Q 15001:2023」では、新たに以下の規定(A.14 d項)が追加されました。
A.14 第三者提供の制限
- d) 組織は,特定した個人情報について,個人情報保護リスクアセスメントの結果を考慮して,当該個人情報を個人データと同様に取り扱うことが適切であると判断した場合には,個人データと同様に,第三者提供の制限を行わなければならない。
※「JIS Q 15001:2023」より
これは、情報の形式(データベースか否か)に関わらず、「その情報が漏洩した際の本人の権利利益への影響(リスク)」を重視するリスクベースアプローチに基づいています。
3. 実務上の対応アドバイス
JIPDECの構築・運用指針においても、この点は「留意事項」として強調されています。実務上は以下の理由から、同意書に記載することを強く推奨します。
- 透明性の確保:
本人にとっては、情報がデジタルかアナログかに関わらず、外部に提供されることへの不安は変わりません。 - 審査への備え:
審査において「なぜこの個人情報は保護対象(同意取得)から外したのか」という論理的な説明(リスクアセスメントの結果)を求められるリスクを回避できます。
したがって、第三者提供を予定されているのであれば、対象が「個人データ」か「個人情報」かに関わらず、同意書に明記して同意を得ておくのが最も確実で誠実な対応となります。
以上、ご参考ください。
