(個人情報の第三者提供には同意が必要?)
先日、ある学校関係者の方と話をしていた際に、「生徒の学習データは個人情報だから、第三者に提供するには、保護者の同意を取らないと・・」といった話題がありました。
そのときは特に疑問を感じることもなかったのですが、個人情報保護法の第三者提供の条文は、民間事業者が対象となる第4章(個人情報取扱事業者等の義務等)にある条文なので、公立学校の場合は適用がないのではないか、、と後で気づきました。
ちなみに、個人データの第三者提供の制限に関する条文は、以下のようになっています。
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四〜七 (略)
2〜4 (略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二、三 (略)
6 (略)
法令に定められている場合などを除いて、第三者に個人データを提供する場合には、あらかじめ本人の同意を得る必要があること、一方で、利用目的に必要な範囲内で個人データの取り扱いを委託する場合などは、第三者に該当しない(同意を取らなくてもいい)、といったことが定められています。が、この条文は民間事業者が対象なので、公立学校には適用されません。(私立学校の場合は、適用があります。)
(行政機関における外部提供の場合)
では、公立学校の場合はどうなるのでしょうか? 行政機関等の義務等を定めている第5章には、以下のような条文が置かれています。
(利用及び提供の制限)
第六十九条 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
一 本人の同意があるとき、又は本人に提供するとき。
二〜四 (略)
3、4 (略)
こちらも第2項第1号に「本人の同意があるとき」と定められているから、同意を取る必要がある・・・、と文字だけ追うと思ってしまいそうですが、こちらは、利用目的以外の場合に個人情報を提供する場合の規定です。(当初から明示している)利用目的の範囲内であれば、特に本人の同意は必要なく、個人情報を外部に提供することが可能です。
裏を返すと、当初の目的と違う使い方で個人情報を利用したり外部に提供したりする場合には、本人の同意を取るようにしなければなりません。
(民間事業者と行政機関との違い)
このような、民間事業者と行政機関との違いですが、端的に説明しているものはないかなと探してみたところ、個人情報保護法の解説書に以下のような記載がありました。
民間部門では、個人データの第三者提供の可否を原則として本人の同意の有無を基準に判断する規律が採用されているのに対し、公的部門では、保有個人情報の外部提供の可否を原則として利用目的の範囲内かどうかで判断する規律が採用されているという基本的な差異があります。
(冨安 泰一郎・中田 響 編著「一問一答令和3年改正個人情報保護法」P88)
非常にわかりやすいので、今後は、こういう説明ぶりを念頭に置いておきたいと思います。。
なお、学校でクラウドサービスを利用する場合があると思いますが、クラウドサービス事業者が、当該個人データを取り扱わないこととなっている場合には、個人データを提供したことにはならない、という考え方(「クラウド例外」)が個人情報保護委員会から示されています。こちらについては、また別途見てみたいと思います。。
(ポイント)
・公立学校では、利用目的の範囲内であれば、本人の同意がなくても個人情報を外部に提供することが認められている。(利用目的以外の場合は、同意が必要。)
・公立学校と私立学校とで、個人情報の第三者提供に関する条文は異なる。
・クラウドサービスを利用する場合、個人データの提供に当たらない場合がある。(「クラウド例外」)
(参考)
