ニュース&トピックス

News and Topics

『改正個人情報保護法について』 その③ 弁護士 齋藤 拓

(その②の続きです!)

4 個人データの第三者提供に係る本人の同意の取得及び記録の保存義務

(1) 同意の取得について

個人データを第三者に提供する際には,原則として,
あらかじめ本人の同意が必要となりますが,以下で説明する通り,

①個人情報保護法23条1項に定める場合
②オプトアウトによる第三者提供をする場合
③提供先が第三者にあたらない場合は

同意は必要ありません。

①個人情報保護法23条1項に定める場合

個人情報保護法23条1項には,

(ア)法令に基づく場合
(イ)人の生命,身体又は財産の保護のため必要がある場合であって
本人の同意を得ることが困難であるとき
(ウ)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって
本人の同意を得ることが困難であるとき
(エ)国の機関若しくは地方公共団体又はその委託を受けた者が
法令の定める事務を遂行することに対して協力する必要がある場合であって,
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき,

という4つの例外が定められています。

②オプトアウトによる第三者提供

オプトアウトによる第三者提供とは,
本人の求めに応じて第三者提供を停止することになっている場合に,
本人の同意なく第三者提供できるという仕組みのことをいいます。

この例外規定の適用を受けるためには,必要事項を,
個人情報保護委員会規則に従って,あらかじめ,本人に通知し,
又は本人が容易に知り得る状態に置くことが必要です。

たとえば,自社のウェブサイト上のプライバシーポリシーに掲載する方法が典型的です。

また,個人情報保護委員会への届出も必要になります。
同委員会は,その事業者をウェブサイトで公表します。

この制度が定められた趣旨は,
名簿業者による名簿の不適切な売買を防止することにありますが,
名簿業者ではない事業者であっても,
オプトアウトによる第三者提供をする場合には,届出が必要になります。

③提供先が第三者にあたらない場合

個人情報保護法は,

(ア)事業者が利用目的の達成に必要な範囲内において
個人データの取扱いの全部又は一部を委託する場合
(イ)事業の承継に伴って個人データが提供される場合
(ウ)共同利用の要件を満たす場合を,提供先が第三者にあたらない場合として定めています。
(ア)は,たとえば既存顧客へのダイレクトメールの発送のために
個人データを外部業者へ委託する場合などです。

この外部業者は第三者にあたらないため,
第三者提供に係る本人の同意は不要であるものの,
提供元の事業者は,この外部業者に対し,
情報漏えいが起こらないように監督する義務があります。

(ウ)は,たとえば一定の条件(※)を満たしたグループ企業の中で,
個人データを共有して利用する場合などが想定されています。

※ ①共同利用する旨,②共同して利用される個人データの項目,
③共同して利用する者の範囲,④利用する者の利用目的,
⑤個人データの管理について責任を有する者の氏名又は名称を,
あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置くことが必要となります。

(2)記録の保存義務について

事業者は,個人データを第三者に提供したときは,
原則として,個人情報保護委員会規則で定めるところにより,記録を作成し,
その記録を同規則で定める期間保存しなければなりません。

名簿業者の間においては,各種の名簿が売買されて流通していますが,
ある者が入手した名簿が,個人情報の流出事件により流出したものなのか,
適法に流通していたものなのかがわからない事態が生じていました。

そこで,個人データのトレーサビリティ(追跡可能性)を確保するため,
第三者提供する際の記録の保存義務が定められました。

本人の同意に基づく第三者提供の場合には,

①第三者の名称等
②本人の氏名等
③提供した個人データの項目
④本人の同意を得た旨を記録しなければなりません。

一方,オプトアウトによる第三者提供の場合には,
前記①~③及び④´提供年月日の記録が必要です。

そして,この記録の保存期間は,
最長で個人データの提供を行った日から3年間となります。

これに対し,個人データを受領した事業者は,

(ア)個人データを提供した第三者の氏名・名称,住所,法人の場合には代表者の氏名と,
(イ)その第三者が個人データを取得した経緯を確認しなければなりません。

仮に,適法に入手されたものではないと疑われるにもかかわらず,
あえて個人データの提供を受けた場合には,
適正取得違反(個人情報保護法17条1項)と判断される可能性があるため,注意が必要です。

その上で,本人の同意に基づく第三者提供の場合には前記①~④に加え,
前記(イ)取得の経緯も記録する必要があります。

一方,オプトアウトによる第三者提供を受けた場合には,
前記①~③,④´,(イ)に加え,(ウ)個人情報保護委員会により
公表されている旨を記録しなければなりません。

そして,この記録の保存期間は,
最長で個人データの提供を受けた日から3年間となります。

第5 おわりに

改正法では,1条において,
「個人情報の適正かつ効果的な活用が新たな産業の創出並びに
活力ある経済社会及び豊かな国民生活の実現に資するものであること」
という個人情報の有用性が明記されました。

「ビックデータ」と呼ばれる大量に蓄積された個人情報の分析により,
新たなビジネスが生み出されることが期待されたり,
「IoT」(Internet of Things:あらゆるモノがインターネットにつながること)が
広がる社会へと進んでいく今日において,
個人情報の適切な保護環境の整備は,各事業者にとって最重要課題の一つといえるでしょう。

 

当事務所は、(財)日本情報処理開発協会(JPDEC)より個人情報の適切な取扱いを行う事業者に付与される「プライバシーマーク」を取得しています。

法律相談

当事務所では、依頼者のために闘う弁護士がいるということを広く認知していただくため、法律相談料30分5,500円で応じております。まずは扉を開けて、気軽に悩みを我々にご相談ください。

法律相談料30分5,500円

法律相談申し込み »

弁護士法人マーシャルアーツ 書籍情報