3.PDS、情報銀行と個人情報保護法との関係
資料4-4
第4回情報信託機能の認定スキームの在り方に関する検討会
モデル約款案について
2018/3/23
検討会 事務局
〔契約上の合意関係〕
■ 情報信託機能を提供する「情報銀行」のサービスについて、債権債務の内容や情報銀行の責任範囲を明確化するため、個人と情報銀行の間を委任関係に関する 契約上の合意と整理することとする。
■ 「委任関係」とは、個人に代わって妥当性を判断の上、個人情報を適切に管理・
利活用(第三者提供等)することについて、個人が情報銀行に委任する関係とする。
■ このような委任関係は、従来の個人情報を取り扱うサービスに比べ、より個人の
コントローラビリティを確保した、消費者個人を起点としたサービスの実現となり、消費者への便益や委任の内容などの具体的合意条件を契約関係として整理する標準
的な契約条項を「モデル約款」として示すことが重要。
■ その際、内容を契約等でわかりやすく整理し、個人情報保護法上の
第三者提供においても有効な包括的同意が取得できるよう整理することが重要。
1
監査組織
(例:データ監査審議会)
<委任の内容>
・個人情報を個人のために
管理・利用(第三者提供)する業務
委任
個人 委任契約の合意
情報銀行
監査、審議、公表
受任
<情報銀行の義務>
・個人情報保護法上の同意取得などの遵守
・安全管理措置、セキュリティ体制を整備
・監査体制整備
・第三者提供を行う場合の義務 等
※個人情報保護法上の第三者提供・利用目的の変更の同意が取得できるように整理することが必要
●個人情報の保護に関する法律(平成15年法律第57号)
(利用目的による制限)
第16条 個人情報取扱事❹者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
(略)
(第三者提供の制限)
第23条 個人情報取扱事❹者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(略)
●「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
(第三者提供の制限の原則)
Q5-8 本人の同意は、個人データの第三者提供に当たってその都度得る必要があるのですか。 A5-8 必ずしも第三者提供のたびに同意を得なければならないわけではありません。
例えば、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
(参考)
●IT室 データ流通環境整備検討会AI、IoT時代におけるデータ活用ワーキンググループ中間とりまとめ
(平成29年3月)
3.PDS、情報銀行と個人情報保護法との関係
個人情報保護法の個人データの第三者提供に係る規定との関係について、個人が自らのデータの第三者への提供に係る制御を行うPDSの場合は、分散型、集中型ともに第三者提供について当該個人の決定に従って行われていると考えられるため、本人同意に基づく第三者提供と整理できる。
また、情報銀行についても、自らの指示又は予め指定した条件(例えば、第三者におけるデータの活用目的・公益性、本人又は社会に還元される便益、情報の機微性等を勘案したもの)の範囲で情報銀行が個別の第三者提供を行うことに本人が同意している場合には、本人同意に基づく第三者提供と整理することができる。
・認定団体において、モデル約款を策定
・認定を受ける情報銀行は、当該モデル約款を準拠の上、それぞれの約款を作成すること
1 個人と情報銀行の間
1)目的
個人からの委任にもとづき、個人情報を含む個人のデータを当該個人の利益を図るために適正に管理・利用(第三者提供を含む)することについて定めること
2)定義
本モデル約款の対象となる個人情報には「要配慮個人情報」「クレジットカード番号」「銀行口座番号」は含まない
3)情報銀行の行う業務範囲
情報銀行は、個人に代わって当該個人情報について、当該個人の合理的利益が得られるような活用手法、情報提供先の選定、第三者提供、個人情報の維持・管理、業務の適切な提供・改善のための利用など(各情報銀行は、それぞれが行う業務内容を明記すること)
4)情報銀行が担う義務
(事業全体)
・個人情報保護法に定める義務を遵守すること
・個人情報について安全管理措置を講じ、セキュリティ体制を整備した上で維持・管理を行うこと
・善管注意義務にもとづき、個人情報の管理・利用を行うこと
(個人情報の取扱いについて)
・個人情報の取得の方法、利用目的の明示
・個人情報の第三者提供を行う場合の提供先及び利用目的についての判断基準(認定基準に準じて判断)の明示、個人情報保護法上の同意の取得方法の明示
・個人情報の第三者提供を行う場合の判断プロセスの明示(例:データ倫理審査委員会の審査・承認など)
・個人情報の提供先第三者及び当該提供先第三者の利用目的の明示
・個人からの求めがあれば、提供先第三者への個人情報の提供を行わない
・個人が自らの情報の撤回(オプトアウト)を求めた場合は、対応すること
・情報銀行の行う事業による便益(一般的便益にくわえ、具体的事業内容にてらした便益を含む)の明示
(提供先第三者との関係)
・個人情報の第三者提供を行う場合、当該提供先からの再提供は禁止する
・個人情報の提供先第三者との間での提供契約を締結すること
(提供契約には、必要に応じて提供先第三者に対する調査・報告の徴収ができる、損害賠償責任等規定すること)
5)プライバシーポリシーの適用
・情報銀行は当該情報銀行が定め公表しているプライバシーポリシーで定める内容を遵守すること
6)情報銀行の機能について
個人が情報銀行に委任した情報の取り扱いについてコントロールできる下記の機能を有することその他の機能(例:データポータビリティ機能など)があれば、それを示すこと
・自らの情報がどこに提供されたのかの履歴を閲覧する機能
・利用者が情報銀行へ情報提供をしない旨の意思表示又は自らの情報の撤回をする機能
7)個人の指示に基づいて、個人情報を情報提供元事業者から情報銀行に移行する場合は、個人は、情報提供元事業者との間で、事前に情報の移行に関する同意/契約をすること
8)個人は情報銀行が委任内容を適切に運営できるよう、情報銀行から必要に応じて確認など求めがあった場合には適切に対応すること
・個人からの相談への対応体制を設けること、その旨を明示すること
10)重要事項の変更
・個人情報の取得・提供などに関する約款内容に重要事項に変更がある場合には、事前通知を行うこと
11)損害賠償責任
・消費者契約法など法令を遵守した適切な対応をすること
・情報銀行と提供先第三者の契約に、提供先第三者に帰責事由があり損害発生した場合には第三者提供先は損害賠償責任を負うということを明記する(情報銀行は損害賠償を含む提供先第三者に関する相談も受け付ける)
・(上記契約をしなかった場合)第三者提供先に帰責事由があった場合には、情報銀行が損害賠償を負うということにし、第三者提供先に求償する
12)事業終了時や事業譲渡時の扱いについて
・情報銀行に関する事業を終了や譲渡などをする場合の情報の取り扱いについて規定すること
2 情報銀行と情報提供元(情報提供先)との間
1)複数の情報提供元(情報提供先)事業者毎の事情を勘案し、提供されるデータの「形式」「提供方法」等に関する規定
2)情報提供元(情報提供先)事業者と情報の利用範囲や取扱条件の制限に関する規定
3)情報漏えいの際の原因究明に向けた、情報銀行と情報提供元(情報提供先)事業者の協力体制などに関する規定、提供先第三者に帰責事由があり損害発生した場合には損害賠償責任を負うことの明記
4)情報提供環境のセキュリティ要件(ネットワーク経由でデータ提供する場合のVPNの設定等)に関する規定