平成24年度 秋期 ITパスポート試験 問20 解説 個人情報保護法

個人情報を外部に提供する際、相手が「第三者」に該当するか、あるいは「法令に基づく例外」や「委託」に該当するかを見極めるのがこの問題を解く鍵です。原則として、個人情報を第三者に提供する場合は本人の同意が必要ですが、業務委託や生命の安全に関わる場合などは同意が不要とされています。この問題では、親会社という別法人への提供が「委託」や「例外」に含まれないため、同意が必要なケースとなります。

第三者提供の原則と例外のルール

個人情報保護法では、取得した個人情報をあらかじめ本人の同意を得ることなく第三者に提供することを禁止しています。しかし、実務上の利便性や緊急性を考慮し、以下の場合は「第三者」への提供とはみなさない、あるいは同意が不要であると定められています。

1. 委託：利用目的の達成に必要な範囲内で、個人データの取り扱いの全部または一部を委託する場合（例：配送業者、データ入力業者）
2. 事業承継：合併、会社分割、営業譲渡などにより事業が継承される場合
3. 共同利用：特定の者との間で共同して利用する場合（あらかじめ本人に通知、または本人が容易に知り得る状態に置いていることが条件）
4. 法令に基づく場合：警察や裁判所からの照会など
5. 人の生命、身体または財産の保護のために必要がある場合：本人の同意を得ることが困難な緊急時（例：災害時、リコール製品の通知）

この区分を正確に理解しておくことが、ITパスポート試験のコンプライアンス分野を攻略する第一歩です。

選択肢の判断根拠

各選択肢が「本人の同意を必要とする第三者提供」か「同意不要のケース」かを分類すると以下のようになります。

ア：親会社の新製品を案内するために、顧客情報を親会社へ渡した。 親会社と子会社は別法人であるため、親会社は法律上の「第三者」に該当します。自社の新製品案内を委託するのではなく、親会社自身の営業活動のために情報を渡す場合は、原則として本人の同意が必要です。もし「共同利用」の枠組みを使う場合でも、事前に本人への通知などが必要となるため、何も手続きなしに渡すことはできません。

イ：顧客リストの作成が必要になり、その作業を委託するために、顧客情報をデータ入力業者へ渡した。 これは「委託」に該当します。自社が達成すべき目的（リスト作成）のために、作業の一部を外部に任せる形態です。適切な監督を行っている限り、本人の同意は不要です。

ウ：身体に危害を及ぼすリコール対象製品を回収するために、顧客情報をメーカへ渡した。 これは「人の生命、身体または財産の保護」に該当します。製品の不具合で怪我をする恐れがあるような緊急事態において、速やかに回収作業を行う必要があるため、本人の同意を得る時間がない、あるいは困難な場合でも提供が認められます。

エ：請求書の配送業務を委託するために、顧客情報を配送業者へ渡した。 これもイと同様に「委託」に該当します。請求書を届けるという本来の目的を果たすために、配送という手段を専門業者に依頼する形式であるため、本人の同意は不要です。

組織間でのデータ共有とプライバシー保護

この問題が受験者に問うているのは、企業グループという大きな枠組みであっても、法的には「個別の人格を持つ組織」として扱われるという意識です。一般の感覚では「親会社なら同じグループだから情報を共有しても大丈夫だろう」と考えがちですが、法制度上はプライバシー保護の観点から厳格に区別されています。

実務においても、グループ企業間で顧客データベースを統合したり、相互にメールマガジンを配信したりする際には、利用規約やプライバシーポリシーにその旨を明記し、あらかじめ同意を得る、あるいは共同利用の手続きを踏むことが必須となります。ITシステムの設計や運用に関わる者は、データの流れが法的な「提供」にあたらないかを常にチェックする視点を持つことが求められます。

参考リンク

• 【個人情報保護法】第27条（第三者提供の制限）をわかりやすく解説
• 個人情報保護法を理解して「名簿」から「Webサービス」までを適切に管理する
• 個人情報の保護に関する法律 | e-Gov法令検索