natsukifuruhashi 会社や個人事業主の方が個人情報保護法の規定の中で最も気にされているのが、「第三者提供の制限」だと思います。
個人情報保護法は、個人情報取扱事業者による個人データの第三者提供を原則として禁止しています(27条)。
※第三者提供に関しては様々な例外規定が設けられていますが、本記事では割愛します。
勘違いしやすいのですが、ここで禁止されているのは「個人データ」を第三者に提供することであり、「個人情報」を第三者に提供することではありません。
「個人データ」とは、「個人情報データベース等を構成する個人情報」であり、「個人情報データベース等」とは、「個人情報」を容易に検索することができるように体系的にまとめたものをいいます(16条1項)。
要するに、個人情報を紙面やパソコンで名簿化するなど、データベース化したものが「個人情報データベース等」であり、このデータベースを構成する個人情報が「個人データ」に該当します。
一方で、データベースを構成しない個人情報もあり、その情報は「個人データ」には該当せず、第三者提供の制限規定には抵触しないのです。
そのため、第三者提供の禁止規定に抵触するか否かを検討する際には、提供しようとしている個人情報が「個人データ」に該当するか否かを確認するのがよいでしょう。
例えば、生年月日や電話番号などは、他の氏名などと組み合わせることで特定の個人を識別できてしまうため、個人情報に該当することがありますが、会社で保管されている名簿に組み込まれていないのであれば、「個人データ」には該当しないといえます。
メールアドレスも、ユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で個人情報に該当しますが、それが名簿に組み込まれていない場合には、「個人データ」とはなりません。
なお、「個人データ」に該当しない個人情報を第三者に提供する場合、第三者提供の制限規定には抵触しませんが、不適正な利用の禁止規定(19条)等、個人情報を取り扱う際の基本的なルールには従う必要がありますので、ご留意ください。