個人情報取扱事業者への該当性:グループで共同利用している情報の件数は含めるのか

Posted on Posted in Q&A, 個人情報保護, 個人情報取扱事業者

当社が所属する企業グループでは人事データベースをイントラネット上で共同で利用しています。各企業はグループ全体の人事データを閲覧できます。各企業が個人情報取扱事業者に該当するかどうかの判断では、このデータベースの件数は算入しますか?

まずこのデーターベースが個人情報保護法上どのような取扱となるかの分析が必要です。前提としてこのデータベースが個人情報保護法に違反していないというための法律構成は以下のいずれかでしょう。 ①各社員の個人情報の保有主体を各社員が所属する会社と捉え、個人情報を他の会社が利用する際には、個人情報が第三者に提供されたとして捉え、この第三者提供について各社員から23条1項の同意を得ている。 ②各社員の個人情報の保有主体をグループに所属するすべての会社と捉え、個人情報保護法第23条4項3号の個人情報の共同利用の規定により利用する。
これらのどちらかの前提を各場合には、そもそもそのようなデータベース自体が個人情報保護法上違法となってしまいます。どちらかには該当できるように、第三者提供の同意を得るなり、共同利用の通知を行う必要があります。
①の構成で利用している場合には、件数の算入については議論が分かれる点でしょう。このデータベースを利用できる環境があること自体をもって、すでにデータベース内の情報すべての提供を受けたと考えれば、情報を取得しているとして件数に算入することになります。しかし実際に検索するまでは個人情報を取得しない点を重視すれば、実際に検索して取得した数のみを件数に算入することになります。私見ですが、データベースの実体(サーバーないしはデータファイル)が、各会社ではなく管理会社が保有している場合には後者として評価すべきではないでしょうか。これに対してデータベースの実体がレプリケーションされるなどによって、各会社がすべて保有している場合には全社に該当するのではないかと思われます。
②の構成で利用している場合にも①と同様も議論となる余地はあります。しかし取得の時点で共同して取得したと見なされたり、データベース化した時点で各会社に移転したとして、すべての会社に情報提供が既に情報提供がなされていると解釈される可能性が高くなるでしょう。そのため多くの場合は、各会社においてはデータベース内の情報の件数を算入しなければならないでしょう。


Facebooktwittergoogle_pluspinterestlinkedinmail
納得したらすぐにシェア!