個人情報の共同利用について

(株)東宝ハウスホールディングスのグループ会社である
(株)東宝ハウス武蔵野と(株)東宝ハウス杉並は
お客様により良いサービスを提供させて頂くために
お客様の個人情報を共同利用させて頂きます。

共同利用(法第 23 条第 5 項第 3 号関係)

特定の者との間で共同して利用される個人データを当該特定の者に提供する場合(※1)であって、次の①から④までの情報(※2)を、提供に当たりあらかじめ本人に通知(※3)し、又は本人が容易に知り得る状態(※4)に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しない(※5)。
また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要がある。その上で、当該個人データの内容や性質等に応じて共同利用の是非を判断し、既に取得している事業者が法第 15 条第 1 項の規定により特定した利用目的の範囲で共同して利用しなければならない。

①共同利用をする旨

②共同して利用される個人データの項目
 事例 1)氏名、住所、電話番号、年齢
 事例 2)氏名、商品購入履歴

③共同して利用する者の範囲
共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。
したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。
なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。

④利用する者の利用目的
共同して利用する個人データについて、その利用目的を全て、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。
なお、利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載することが望ましい。

⑤当該個人データの管理について責任を有する者の氏名又は名称
「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。
なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。
また、個人データの管理について責任を有する者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人データを正確かつ最新の内容に保つよう努めなければならない(3-3-1(データ内容の正確性の確保等)参照)。

【共同利用に該当する事例】

事例 1)グループ企業で総合的なサービスを提供するために取得時の利用目的(法第 15条第 2 項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
事例 2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
事例 3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合

(※1)共同利用の対象となる個人データの提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。
(※2)事業者が共同利用を実施する場合には、共同利用者における責任等を明確にし円滑に実施する観点から、上記?から?までの情報のほか、例えば、次の(ア)から(カ)までの事項についても、あらかじめ取り決めておくことが望ましい。

(ア)共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み)
(イ)各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
(ウ)共同利用する個人データの取扱いに関する事項
・個人データの漏えい等防止に関する事項
・目的外の加工、利用、複写、複製等の禁止
・共同利用終了後のデータの返還、消去、廃棄に関する事項
(エ)共同利用する個人データの取扱いに関する取決めが遵守されなかった場合の措置
(オ)共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
(カ)共同利用を終了する際の手続
(※3)「本人に通知」については、2-10(本人に通知)を参照のこと。
(※4)「本人が容易に知り得る状態」については、3-4-2(オプトアウトによる第三者提供)を参照のこと。
(※5)共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。

<共同利用に係る事項の変更(法第 23 条第 6 項関係)>

法第 23 条(第 6 項)
6 個人情報取扱事業者は、前項第 3 号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

個人情報取扱事業者は、個人データを共同利用する場合において、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内(※1)で変更することができ、「個人データの管理について責任を有する者の氏名又は名称」についても変更することができるが、いずれも変更する前に、本人に通知(※2)し、又は本人が容易に知り得る状態(※3)に置かなければならない。
なお、「共同して利用される個人データの項目」及び「共同して利用する者の範囲」について変更することは、原則として認められないが、例えば次のような場合は、引き続き共同利用を行うことができる。

事例 1)共同利用を行う個人データの項目や事業者の変更につき、あらかじめ本人の同意を得た場合
事例 2)共同利用を行う事業者の名称に変更があるが、共同して利用される個人データの項目には変更がない場合
事例 3)共同利用を行う事業者について事業の承継(※4)が行われた場合(共同利用する個人データの項目等の変更がないことが前提)

(※1)「本人が通常予期し得る限度と客観的に認められる範囲」については、3-1-2(利用目的の変更)を参照のこと。
(※2)「本人に通知」については、2-10(本人に通知)を参照のこと。
(※3)「本人が容易に知り得る状態」については、3-4-2(オプトアウトによる第三者提供)を参照のこと。
(※4)「事業の承継」については、3-1-4(事業の承継)を参照のこと。