メールクリーニングサービスは「第三者提供」あるいは「委託」に該当するの?
事業を行うものにとって、個人情報は非常に重要な資産です。特に、個人情報を外部に出す際の法的な要件を理解してないと、コンプライアンス違反をおこす危険があります。
特に混乱が発生する「第三者提供」と「委託」の違いを正確に理解することは、個人情報を適切に管理し、お客さまの信頼を守るために欠かせません。
そもそもメールアドレス単体では個人情報に該当しないという解釈もございますが、メールアドレスを個人情報とした前提で「第三者提供」と「委託」の定義を明確にし、メールクリーニングサービスの利用にあたってはどう整理すればいいのか解説いたします。
第三者提供の定義について
第三者提供とは、個人情報を他社に渡し、その受け取った事業者が自らの目的でその情報を利用するケースを指します。第三者がどのようなものかについては、個人情報保護委員会のQ&A(Q7-1)で紹介されています。
例えば、あるECサイト運営会社が、お客さまの購買データを広告代理店に渡し、その広告代理店が独自の広告キャンペーンを展開する場合です。この場合、データは提供元の管理を離れ、提供先の裁量で利用されることになります。
法律上、日本の個人情報保護法では、第三者提供を行う際には以下が求められます。
- 本人の同意: 提供元はユーザーに対して情報を提供する目的や提供先を明示し、同意を得る必要があります。
- 例外的なケース: 緊急事態(人命保護など)や法令に基づく場合を除き、同意なしでの提供は原則として認められません。
ホームページを訪れたさいに、サイトの閲覧履歴などの情報が含まれるCookieに関する同意ボタンが表示されのがわかりやすい事例かと思います。Cookie情報は第三者に提供される可能性があるからです。
第三者委託の定義について
第三者委託とは、事業者が自社の業務の一部を外部に委託し、その委託先が業務の遂行に必要な範囲内で個人情報を利用するケースを指します。
例えば、ECサイトが配送業務を外部の配送会社に委託し、お客さまの住所や連絡先を渡す場合です。この場合、配送会社は委託元の目的に従い、情報を利用します。
第三者委託には以下の特徴があります。
- 目的の限定性: 委託先は、委託元の指示の範囲内でのみ個人情報を利用できます。
- 監督義務::個人情報保護法に基づき、委託元は委託先に対して適切な監督を行う責任があります。これには、契約締結や委託先の管理状況の確認が含まれます。
アマゾン社が商品を宅配業者を管理する義務があるのがわかりやすい事例かと思います。
さて、ではこの第三者提供と第三者委託に該当しない例というのはあるのでしょうか!?
個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合に関する事例が、個人情報保護委員会のFAQ(Q7-55)に記載されています。
外部事業者が個人データを取り扱わないことが契約で明確化されている場合や、適切なアクセス制御が行われており、個人データの取得を防止する措置が講じられている場合は、「第三者提供」や「委託」に該当しないと判断できるとのことです。
例えば、保守サービス事業者がシステム修正パッチやマルウェア対策のためのデータを配布・適用する場合や、不具合の生じた機器を交換・廃棄する際に機器内の個人データを取り扱わないことが契約で明確化されている場合は該当しないと解釈されます。
メールクリーニングサービスは第三者提供・委託?実はこう判断される
日本国内でメールクリーニングサービスが「第三者提供」や「委託」と判断されていない理由をご紹介いたします。
メールクリーニングサービスは独立したツールとして機能しており、サービス自体が個人情報を保存したり、独自の利用目的を持つことはなく、データが一時的に処理されるものです。
また、サービス利用者からの指示がない限りメールアドレスを参照することもありません。
サービス時にメールアドレスは次のような処理が行われます。
メールアドレスの確認方法
メールアドレスが正しいかどうかを確認する際に、”DNS参照”や”SMTP接続”と呼ばれる方法が使われます。ただし、これらの方法ではデータを一時的に利用するだけで、内容を保存したり保持したりすることはありません。
DNS参照とは?
これは、メールアドレスの「@」の後ろの部分(例:@example.com)が存在しているかどうかを確認する作業です。たとえば、example.comというドメインが有効なメールサーバーを持っているかどうかを調べます。
郵便物を送るときに、相手の住所が地図に載っているか確認する作業と同じようなものです。
SMTP接続とは?
次に、DNS参照で「住所」が見つかったら、その住所が本当に手紙を受け取れるかどうかを確認する作業です。具体的には、username@example.comというメールアドレスに対して「この宛先は存在しますか?」と問い合わせをします。
実際に郵便配達員が玄関まで行き、「この家に〇〇さんは住んでいますか?」と確認するような作業と同じようなものです。
メールクリーニング後、メールアドレスに対してステータス情報が付加されますが、これらのデータ管理権限は利用者に残り、データは即時削除も可能です。またサービス利用から30日後には強制的にデータが削除されます。
各情報の管理権限が提供元のから離れることはありません。
メールクリーニングサービスは、ツールや機能の提供に近い性質を持ちます。システムに個人情報が一時的に取り込まれるものの、サービス提供者がその個人情報を保持したり、独自に利用したりすることはありません。
このデータ処理の流れは、インターネット通信の中継点であるルータを通過するデータのように、単なる通過点として機能するものと理解ください。
最後に
「第三者提供」と「委託」は、個人情報を外部に渡す際の基本的な概念ですが、多くの事業者においてメールクリーニングサービスはこれらに該当しないと判断可能です。
これは、サービスにおいてデータ内容を閲覧することがなく、また、独自目的で利用しないことが技術的および利用規約で保証されているためです。ご利用希望者さまがこれらの違いを正確に理解し、適切にサービスを選択することで、法的リスクの回避だけでなく、お客さまの信頼を守ることにもつながります。
関連商品
-
ワイメール
-
メールクリーニングの窓口
-
SENDMAGIC
-
List Finder
-
Hirameki 7
-
PowerDMARC
