<個人情報の保護に関する法律>
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
先日、『Tカード』の運営会社が裁判所の令状なしに捜査当局に個人情報を提供していた問題が物議を醸す事態となっています。
さて、あなたの会社の『個人情報保護方針』はどのようになっていますか?
Tカード問題を自社に置き換えた場合
今回『Tカード』の運営会社が行った内容は、
警察からの『捜査関係事項照会書』に回答をしたということです。
これが法的に問題か?と言うとそうではありません。
冒頭に書いた『個人情報の保護に関する法律』の『法令に基づく場合』に該当するため問題ではありません。
(他にも『裁判官の発する令状に基づく捜査』、『税務署の所得税等に関する調査』、『弁護士会からの照会』なども『法令に基づく場合』に該当します。)
問題視されているのは『個人情報保護方針』などに明記されずに内々だけで方針を変更していたことが大きいです。
つまり、予め『個人情報保護方針』などにおいて『法令に基づく場合』は個人情報の提供をすることがある旨を開示しておけば良かった話しかと思います。
(問題視された後、同社は2019年1月21日付にて個人情報保護方針を改訂しています。)
さて、あなたの会社の『個人情報保護方針』はどのように明記されていますか?
そこが問題です。
個人情報を本人の同意なく第三者に提供はしないものの、法令に基づく場合は例外として提供することがあるということが明記されているかどうかです。
ただし、『法令に基づく場合』の要請であったとしても社内的な精査を行うか、弁護士に相談するなど慎重な対応が必要です。
