令和4年4月14日
7.個人情報保護法について⑥
前回に続いて、個人情報取扱事業者にどんな義務が課されているのかについて、個人情報の提供の場面を見ていきます。
(3)提供の場面
③ 記録の作成・保存
個人データを第三者に提供する場合、提供者側・受領者側のそれぞれに相手方の名 称等の個人データ提供に関する記録を作成・保存する義務が課されています。
これは、不正取得や情報漏えい等の問題が発生した場合に、行政機関が情報の移転経緯について追跡できるようにすることで(トレーサビリティの確保)、個人の権利利益の侵害を防止するという趣旨です。また、受領者側に確認を求めることで、当該個人情報が不正な入手経路によるものであるかを認識させることで不正手段の防止につながることが期待されています。
ⅰ)記録を要する事項
提供者側が記録しなければならない事項は、①本人の同意を得ている旨と、②提供先である第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときはその旨)、③当該個人データによって特定される本人の氏名その他の当該本人を特定するに足りる事項、④当該個人データの項目です。
オプトアウトによる第三者提供については、①が不要の代わりに、⑤提供年月日の記録が必要となります。
[提供者側の要記録事項]
| 本人の同意 | 提供年月日 | 第三者の氏名等 | 本人の氏名等 | 個人データの項目 | |
|---|---|---|---|---|---|
| 本人の同意による第三者提供 | 〇 | 〇 | 〇 | 〇 | |
| オプトアウトによる第三者提供 | 〇 | 〇 | 〇 | 〇 |
他方、受領者側が記録しなければならない事項は、①本人の同意を得ている旨と、②提供元である第三者の氏名又は名称及び住所(法人の場合は代表者の氏名)、③提供元から当該個人データを取得した経緯、④当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項、⑤当該個人データの項目です。
オプトアウト方式により第三者提供を受けた場合は、①が不要の代わりに、⑥提供元の個人情報取扱事業者が個人情報保護委員会により公表されている旨の記録(個人情報保護委員会のHPにおいて届出書の内容が公表されています)が必要となります。
なお、個人情報取扱事業者ではない私人などから個人データの提供を受けた場合は、上記②から⑤で足りるとされています。
[受領者側の要記録事項]
| 本人の同意 | 提供を受けた年月日 | 第三者の氏名等 | 取得の経緯 | 本人の氏名等 | 個人データの項目 | 個人情報保護委員会による公表 | |
|---|---|---|---|---|---|---|---|
| 本人の同意による第三者提供 | ○ | ○ | ○ | ○ | ○ | ||
| オプトアウトによる第三者提供 | ○ | ○ | ○ | ○ | ○ | ○ | |
| 私人などからの第三者提供 | ○ | ○ | ○ | ○ |
ⅱ)記録の方法
記録は、文書、電磁的記録等により作成する必要がありますが、一定の期間内に特定の事業者に対して継続的または反復して個人データを提供する場合は、個々の提供の記録の代わりに一括して記録を作成することができます。また、継続的または反復して個人データを授受することを内容とする基本契約を締結することで、以後、継続的にまたは反復して個人データを提供することが確実であると見込まれる場合には、当該基本契約に係る契約書をもって記録とすることができます。なお、複数回にわたって同一の本人の個人データを授受する場合は、すでに作成した記録と内容が同一であるものについては記録を省略できます。
さらに、個人情報取扱事業者が、本人に対する売買やサービスの提供に係る契約を締結し、かかる契約に伴って本人の個人データを第三者に提供する場合(例えば、商品の修理に関する契約を締結した小売業者が、当該契約に基づき、下請修理業者に修理契約申込書の写しを交付する場合など)は、当該提供の際に作成した契約書等により個人データの流通を追跡することが可能であることから、当該契約書等をもって記録とすることができます。
ⅲ)保存期間
記録の保存期間は原則3年です。
但し、前記ⅱ)で述べた一括して記録を作成する方法による場合は、最後に当該記録に係る個人データの提供を行った(受けた)日から起算して3年を経過する日までであり、前記ⅱ)で述べた契約書等をもって記録とする場合は、最後に当該記録に係る個人データの提供を行った(受けた)日から起算して1年を経過する日までとされています。
ⅳ)義務の対象にならない場合
ア 個人データを第三者に提供する場合に、本人の事前の同意が不要である例外の場合(法令に基づく場合、生命・身体または財産の保護に必要な場合など)や、第三者に該当しないとされている場合(委託や合併など)には義務は課されません。各場合の詳細はこちらをご参照ください。
イ 本人による提供の場合、例えば、SNS等に本人がプロフィール等を入力することで、自動的に不特定多数の第三者が内容を取得できる状態に置かれている場合は対象外です。
また、本人に代わって提供する場合、例えば、本人から第三者の口座への振込依頼を受けた銀行が、振込先の口座を有する銀行に対して、当該振り込みにかかる情報を提供する場合や、顧客からグループ会社の紹介を求められたため、当該顧客本人の氏名・住所等の連絡先等を、当該グループ会社に提供する場合なども対象外です。
さらに、受領者について、本人の代理人や家族など本人と一体に評価できる関係にある者の場合は、本人側に対する提供とみなして対象外になります。
ウ 個人データを第三者に「提供」する場合ですので、単に閲覧する行為や、口頭、FAX、メール等で受領者の意思とは関係なく一方的に個人データを提供された場合は該当しません。
また、不特定多数の者が取得できる公開情報(ホームページ等で公開されている情報、報道機関により報道された情報など)は、受領者も自ら取得できる情報であるため、「提供」には該当せず対象外となります。但し、最初に個人データを公開する行為については、提供者として記録作成の必要があります。
エ 受領者にとって個人データに該当しない場合、例えば、営業担当者が取引先を紹介する目的でデータベースとして管理しているファイルから名刺を1枚取り出してそのコピーを他会社の営業担当者に渡す場合や、顧客から当該顧客の配偶者の紹介を受ける場合には、受領者は確認や記録の義務は負いません。
④ 外国にある第三者への提供の制限
個人データを外国にある第三者に提供する場合には、当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として認められる場合などを除いて、事前に、外国にある第三者への個人データの提供を認める旨の本人の同意を得なければなりません。
加えて、令和4年施行の改正により、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等が求められるようになります。具体的には、現行の要件である本人の同意に加えて、同意取得時に、移転先国の名称や移転先国における個人情報の保護に関する制度の有無などを本人に情報提供する必要があります。また、提供先は一定の基準に適合する体制を整備した事業者である必要があるところ、移転元は、移転先事業者の取り扱い状況等を定期的に確認した上で、本人の求めがある場合は関連情報を提供する必要があります。
top