2015年個人情報保護法改正の法律施行令、施行規則案に関するパブリックコメント(3.規則案・第三者提供にかかる記録)

 

個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について」の紹介その3です。今回は規則案の内、第三者提供にかかる記録についての部分です。同パブコメの政令案については、先の記事をご覧ください。

まず、改正法で、第三者提供については、大きな変更が加えられています。いわゆるオプトアウト(個人情報保護法23条2項)についての規制強化や外国にある第三者への提供の制限が新たに設けられたという事があるのですが、一般的な事業者で大きな影響があるのが、第三者提供に関して、記録を作成しなければならない義務(改正個人情報保護法25条)、提供を受ける際の確認、記録義務(同26条)で、そこで、記録、確認すべき事項が規則で定められることになっています。

細かい点については、あとの説明を見ていただければと思いますが、委託、共同利用については、記録義務が除外されていますが、オプトアウトはもとより、同意に基づく提供についても、記録義務が課せられています。反復継続する場合等、簡易な記録で足りるような形が用意されているものの、逆に反復継続しないものについては、記録義務違反が発生しやすいのではないかと考えられ、現場でこの義務を履行するのは大変かもしれません(法改正時には典型的なものしか想定されていない様な気がします)。

幅広い事業者で関連する改正であり、要注意の改正事項です。

1.提供時の記録作成

提供時の記録の作成(改正個人情報保護法25条1項)に関しては、規則案12条が定めています。

第12条(第三者提供に係る記録の作成)
1 法第25条第1項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
2 法第25条第1項の記録は、個人データを第三者(同項に規定する第三者をいう。以下この条、次条及び第15条から第17条までにおいて同じ。)に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(法第23条第2項の規定による提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
3 前項の規定にかかわらず、法第23条第1項又は法第24条の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第25条第1項の当該事項に関する記録に代えることができる。

1項は、記録方法は、文書でも電磁的記録でもマイクロフィルムでもよいということ、2項で、提供した都度、速やかに作成しなければならないとしています。提供した都度、記録しなければならないとするとかなり煩雑になりますが、これを軽減するのが、規則12条2項のただし書きと3項ということになります。

まず、ただし書きは、継続的にもしくは反復して提供(オプトアウトの場合を除く)した、あるいは提供することが確実である場合には、一括して記録を作成してもよいと定めています。また、同3項で、本人同意に基づく提供の場合(23条1項と24条の外国への提供の場合)で、本人に対する物品やサービス提供に関連して、個人データを提供する場合には、契約書その他の書面に、規則25条1項各号記載の事項が記載されていれば、契約書面等で代替できるという例外を認めています。なお、3項は、「契約書その他の書面」としており、書面に電磁的記録が含まれるのか明らかでないところが気になります。規則12条1項との関係では紙媒体に限定する理由はなさそうですが。

2.第三者提供にかかる記録事項

記録事項については、以下の様な規定になっています。

第13条(第三者提供に係る記録事項)
1 法第25条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
① 法第23条第2項の規定により個人データを第三者に提供した場合次のイからニまでに掲げる事項
イ 当該個人データを提供した年月日
ロ 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
② 法第23条第1項又は法第24条の規定により個人データを第三者に提供した場合次のイ及びロに掲げる事項
イ 法第23条第1項又は法第24条の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項

2 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第25条第1項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、法第25条第1項の当該事項の記録を省略することができる。

規則13条1項①号は、オプトアウトの場合の記録事項で、同②号が本人同意に基づき記録すべき事項ということになります。

②号が少し分かりにくいですが、本人同意に基づき記録すべき事項としては、

  • 本人の同意を得ている旨
  • 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
  • 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  • 当該個人データの項目

ということになります。

規則13条2項は、これらの記録すべき事項について、既に行っている記録と同じ内容で、それが保存されている場合は、省略できるというものです。

3.第三者提供にかかる記録の保存期間

保存期間については

第14条(第三者提供に係る記録の保存期間)
法第25条第2項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
① 第12条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
② 第12条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
③ 前2号以外の場合3年

 規則14条①号の場合は、12条3項、すなわち物品提供等に伴う提供で、契約書等の書面に記載がある場合は、最後の提供日から1年、同②号の場合は、継続的もしくは反復的に提供する場合は、最後の提供日から3年、それ以外(同③号)は3年となっています。最後の3年の起算点は、明記されていませんが、提供時でしょうか。

4.第三者提供を受ける際の確認等

改正個人情報保護法26条1項は、個人データの第三者提供を受けた際に、規則に定めるところにより、次の事項を確認しなければならないとしています。

① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
② 当該第三者による当該個人データの取得の経緯

そして規則案で定められた確認を行う方法は以下の内容です。

第15条(第三者提供を受ける際の確認)
1 法第26条第1項の規定による同項第①号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
2 法第26条第1項の規定による同項第②号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
3 前2項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項で規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第26条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

提供元の第三者の氏名・住所等については、申告を受ける方法その他の適切な方法、とされていますので、比較的自由な方法です。提供元の個人データの取得経緯については、経緯を示す契約書その他の書面の提示その他の適切な方法とされていますので、単なる提供者側事業者の申告では足りないという事になります。15条3項については、確認事項について、既に記録を作成している場合には、記録と申告(1項の場合)あるいは提示(2項の場合)と記録が同一であることを確認する方法で行うとされています。

5.第三者提供をうける際の記録事項

改正個人情報保護法26条3項は、提供を受ける側にも義務を課し、規則で定める内容の記録を作成するとしています。

個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

規則案については、以下の内容です。

第16条(第三者提供を受ける際の確認に係る記録の作成)
1 法第26条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
2 法第26条第3項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第23条第2項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
3 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第1各号に定める事項が記載されているときは、当該書面をもって法第26条第3項の当該事項に関する記録に代えることができる。

第17条(第三者提供を受ける際の記録事項)
1 法第26条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。

① 個人情報取扱事業者が法第23条第2項の規定により個人データの提供を受けた場合次のイからホまでに掲げる事項
イ 個人データの提供を受けた年月日
ロ 法第26第1項各号に掲げる事項
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
ホ 法第23条第4項の規定により公表されている旨

② 個人情報取扱事業者が法第23条第1項又は法第24条の規定による個人データの提供を受けた場合次のイ及びロに掲げる事項
イ 法第23条第1項又は法第24条の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項

③ 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合第①号ロからニまでに掲げる事項

2 前項各号に定める事項のうち、既に前条に規定する方法により作成した法26条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法26条第3項の当該事項の記録を省略することができる。

基本的には、第三者提供を行う側の記録義務と同様の内容が定められています(17条1項1号については、オプトアウトで提供された情報なので、受ける側として記録すべき事項は若干異なります)。

保存期間についても同様です(改正個人情報保護法26条4項)。

第18条(第三者提供を受ける際の記録の保存期間)
法第26条第4項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。

① 第16条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
② 第16条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
③ 前二号以外の場合 3年