2017年5月30日に改正された個人情報保護法ですが、自社の個人情報を第三者に提供する「第三者提供」の場合、 新たな義務が課せられることになりました。
事業者に、どのような義務が課されるのかというと、個人情報を「第三者に提供する側」「第三者から提供受ける側」の両事業者について、以下の義務が課されるようになりました。
YouTubeでも解説しています!
個人情報を第三者に提供する側は、以下の事項を記録する必要があります。
改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。
特に、「5 提供者による個人データ取得の経緯」については、提供者から、どのように個人情報を取得したのか確認し、情報をもらう必要があります。
改正個人情報保護法施行!個人情報を第三者提供する場合の事業者の義務とは
上記のように、個人情報を第三者に提供する場合に、法律上の「第三者提供」に当たると、記録義務が発生してしまい、非常に面倒な手続きが発生します。
しかし、自社の個人情報を第三者に提供する場合でも、これが「委託」に当たる場合には、上記のような記録義務はありません。
そこで、自社の個人情報を、自社以外の第三者に渡す場合に、「第三者提供」に当たるのか、「委託」に当たるのかが問題となるのです。
法律上の「第三者提供」とは、自社の個人情報を第三者に渡し、受け取った第三者は、その個人情報を自由に使える状態にある場合を言います。
第三者に渡した以上は、第三者側で、自由に使ってください
このような場合が、第三者提供です。
第三者提供に対し「委託」とは、自社の業務の一部を第三者に代わりに行ってもらうために、個人情報を提供する場合です。
いわゆる、業務委託のイメージです。
例えば、税理士事務所や社労士事務所に対して、自社の税務上の処理や給与計算などを行ってもらうために、個人情報を提供する場合がこれに当たります。
上記のうち、「委託」に当たった場合には、「第三者提供」のような個人情報の記録義務は発生しません。しかし「委託」に当たった場合に、何の法的問題もないかというと、そんなことはありません.
個人情報保護法22条においては、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」 つまり、委託元は、委託先を監督する必要があるのです。
では「監督」とは具体的に何を行うのでしょうか?
これは、個人情報に関する委託先の安全管理措置が、法令に則ったものかを確認する必要があります。
委託元としては、委託先に、法令を遵守している事業者を選ばなければならないのです。
委託先における委託された個人データの取扱状況を委託元が合理的に把握することが求められています。
上記のように「第三者提供」に当たるにしろ「委託」に当たるにしろ、個人情報を渡す側は、個人情報保護法上の義務を負います。 事業者は、この法的義務を、しっかりと守るようにしましょう。