打川和男『個人情報保護法の基本と実務対策がよ〜くわかる本』
自分の担当する仕事はお客様の大切な情報をお預かりする性質を含むサービスになるので、改めて個人情報周りの法律を勉強し直すことにした。
目先の学習スコープは第三者提供にあたる場合、第三者提供に当たらない場合の判別をつけることが出来るようになること。
例えば、事前の同意なく従業員の情報を関連会社に共有する場合は第三者提供に該当するが、給与計算を関連会社に委託している場合の従業員情報の提供は第三者提供にあたらない。
この事実を裏付ける理由としては、給与計算に必要な個人情報の取扱いについても委託をしているからであって、この委託の範囲外の個人情報については本論の対象外となる。
いかなる時も、個人情報提供目的と委託業務のスコープが対応関係にあるという前提が理解できていると判別が出来そうである。
従業員情報を企業が従業員管理ツールに入力することは従業員管理ツールベンダーへの第三者提供に該当するか?という問いを立てた場合、おそらく下記のような回答になる。
下記の要件を満たすのであれば第三者提供には該当しない。
契約面において、①ツール提供企業との間で適切な契約を締結している、②契約に個人情報の取扱いに関する条項が含まれている、③データの目的外利用を禁止する条項がある。
また、運用面において①ツール提供企業が委託された業務以外の目的で従業員データを利用していない。②企業(委託元)が適切に委託先を監督している。③データへのアクセス権限が適切に管理されている。
ただし、海外のサーバにデータが保存される場合には追加の確認がいくつか必要で、この辺は本書に書いてあるのだが条件が結構複雑なので必要に応じて辞書的に調べられるようにしておくのが良さそう。
ざっくり業務をイメージしながら読んでいたが、いくつかのパターンごとにこの辺はベースの考えを適用できそうだったので以後も本書に書いてある考え方に立ち戻りながら判別できるようにしたい。
とはいえ間違うと困るので自信がない時には、法務の方々を頼ろう。
※本noteで使われているAmazonリンクはアソシエイトリンクです。