【問題 46】
個人情報の保護に関する法律についてのガイドライン(通則編)(以下、本問において「ガイドライン(通則編)」という。)及び金融分野における個人情報保護に関するガイドライン(以下、本問において「金融分野ガイドライン」という。)に関する次の①~④の記述のうち、その内容が適切でないものを 1 つだけ選び、解答欄にその番号をマークしなさい。
① ガイドライン(通則編)によれば、親子兄弟会社、グループ会社の間で個人データを交換する場合は、個人情報の保護に関する法律第 23 条第 5 項各号に該当するときを除き、第三者提供に該当するとされている。
② ガイドライン(通則編)によれば、個人情報取扱事業者は、個人データを共同利用する場合において、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができ、「個人データの管理について責任を有する者の氏名又は名称」についても変更することができるが、いずれも変更する前に、本人に通知し、又は容易に知り得る状態に置かなければならないとされている。
③ ガイドライン(通則編)によれば、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、利用目的の達成に必要な範囲内であっても、当該提供先は第三者に該当するとされている。
④ 金融分野ガイドラインによれば、金融分野における個人情報取扱事業者は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、個人情報の保護に関する法律第 23 条第 2 項(オプトアウト)の規定を適用しないこととされている。
【正解】 ③
①(〇)【第三者提供とされる事例】(ガイドライン3-4-1)
事例1)親子兄弟会社、グループ会社の間で個人データを交換する場合
事例2)フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
事例3)同業者間で、特定の個人データを交換する場合
②(〇)個人情報取扱事業者は、個人データを共同利用する場合において、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができ、「個人データの管理について責任を有する者の氏名又は名称」についても変更することができるが、いずれも変更する前に、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
③(×)利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。
④(〇)金融分野における個人情報取扱事業者は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、法第 23 条第2項の規定(オプトアウト)を適用しないこととし、法令に従い本人の同意を得ることとする。