個人情報保護法：個人データの第三者への提供

　今回は、以下のようなご質問について検討します。

　個人情報保護法との関係で質問します。①当マンション管理組合は組合員名簿を整備していますが、その組合員名簿の情報を管理会社に提供する場合、組合員本人の同意が必要となりますか。②管理会社は、管理組合から提供を受けた情報を自社の営業活動のために利用することはできますか。

■　はじめに（個人情報保護法について）

　個人情報の保護に関する法律（以下「個人情報保護法」または単に「法」といいます。）は、２００５年（平成１７年）４月１日に全面施行され、その後、２０１５年（平成２７年）改正、２０２０年（令和２年）改正、２０２１年（令和３年）改正と続き、今後も定期的に改正が続くでしょう。

　本稿は、令和５年3月時点の個人情報保護法を前提に検討します。

■　「個人情報取扱事業者」該当性について

　個人情報保護法上、「個人情報取扱事業者」には様々な義務が課せられています。

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます（法１６条２項）。なお、２０１５年（平成２７年）改正（２０１７年（平成２９年）５月３０日施行）により、取り扱う個人情報の量が少ない事業者であっても「個人情報取扱事業者」に該当し得ることになりました。

　「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。そのため、管理組合の行為も個人情報保護法上の「事業」に該当するといえます。

　「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成したものをいい、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるようにされていれば個人情報データベース等に該当します。そのため、管理組合において整備されている一般的な「組合員名簿」も「個人情報データベース等」に該当するといえるでしょう。

　そうすると、一般的な管理組合は「個人情報取扱事業者」に該当することになります。

　なお、個人情報保護法上、「個人情報データベース等」を構成する個人情報のことを「個人データ」といいます（法１６条３項）。

■　ご質問①について

　ご質問①は、個人データの「第三者提供」との関係（法２７条との関係）が問題となります。法２７条の規定は後記【※１】のとおりです。

　個人データを第三者に提供するにあたっては、原則として提供の前に「本人の同意」を得る必要があります（法２７条１項柱書）。ただし、個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合、当該個人データの提供を受ける者は「第三者」に該当しません（法２７条５項１号）。その場合には、本人の同意は不要です。

　管理組合が、その利用目的の達成に必要な範囲内において個人データを管理会社に提供する場合、管理会社は法２７条の「第三者」には該当しませんので、法２７条１項柱書の「本人の同意」は不要ということになります。

■　ご質問②について

　管理組合の委託に基づき個人データの提供を受けた管理会社は、いわば管理組合の手足として、管理組合の利用目的の達成に必要な範囲内において個人データを取り扱うことができますが、それを超えて取り扱うことはできません。

　そのため、管理会社は、管理組合から提供を受けた個人データを、自社（管理会社）の営業活動のために利用することはできません。

■　さいごに（補足）

　管理会社が独自に区分所有者から取得している個人データについては法２７条の問題ではありません（例えば、管理会社が独自に区分所有者から取得した個人情報（個人データ）を利用して、営業のためのダイレクトメールを送付するような場合）。

　ただし、管理会社が、ダイレクトメールの発送業務を他の業者に委託する場合には、法２７条５項１号の適用が問題となります。管理会社から委託を受けた業者は、法２７条５項１号の適用により「第三者」に該当しませんので、その場合の個人データ提供については、区分所有者「本人の同意」は不要です。

　もちろん、委託に基づき個人データの提供を受けた業者は、発送業務のために個人データを取り扱うことができるにすぎませんので、仮に、提供先の業者の営業活動のために当該個人データを利用しようとする場合には、第三者提供に関する「本人の同意」（法２７条１項柱書）を得るか、または法２７条５項３号【※１】の共同利用の方法を取っておく必要があります。

　法２７条５項３号の共同利用の要件【※２】を充たしていれば、個人データ提供先は「第三者」に該当しませんので、法２７条１項柱書の「本人の同意」は不要です。

　【※１】個人情報保護法２７条

（第三者提供の制限）
第２７条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
　五　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）。
　六　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。）。
　七　当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。
２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第２０条第１項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）である場合は、この限りでない。
　一　第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第３０条第１項第１号及び第３２条第１項第１号において同じ。）の氏名
　二　第三者への提供を利用目的とすること。
　三　第三者に提供される個人データの項目
　四　第三者に提供される個人データの取得の方法
　五　第三者への提供の方法
　六　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
　七　本人の求めを受け付ける方法
　八　その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
３　個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
４　個人情報保護委員会は、第２項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
５　次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
　一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
　二　合併その他の事由による事業の承継に伴って個人データが提供される場合
　三　特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
６　個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

　【※２】共同利用の要件について

　個人データを共同して利用する場合には、①共同利用をする旨、②共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的、⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、個人データの共同利用を開始する前に、本人に対して通知するか、本人が容易に知り得る状態に置く必要があります。
　共同利用の場合も、法第１７条１項の規定により特定した利用目的の範囲内でなければなりません。
　共同利用は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することを認める制度です。そのため、共同利用する者の範囲は本人がどの事業者まで現在あるいは将来利用されるか判断できる程度に明確である必要があります。
　個人情報取扱事業者は、法２７条６項【※１】に基づき上記④及び⑤を変更することは可能ですが、上記②や③の変更に関しては、原則に戻り、法２７条１項柱書の「本人の同意」が必要となります。