システム開発やアプリ開発、AI開発などIT企業の法律・法務に強い弁護士事務所です
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

改正個人情報保護法施行!個人情報を第三者提供する場合の事業者の義務とは

個人情報の管理

す個人情報を第三者提供する場合に「新たな義務」が課されます。

個人情報を第三者に提供する場合には、現行法でも、当事者の同意が必要になります。

改正個人情報保護法(2017年5月30日施行)でも、個人情報を第三者提供する場合には、当事者の同意が必要ですが、改正法では、さらに事業者に義務がかされることになりました。

それは「第三者提供する場合のトレーサビリティの確保」です。

トレーサビリティとは「追跡可能性」のことで、仮に、個人情報が漏洩した場合に、誰の責任で漏れたのか、早期に発見できるようにしておきましょう。ということです。

これは、2014年6月に発覚した、株式会社ベネッセコーポレーションによる会員情報流出事件がきっかけです。

ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却したことが発覚した事件で、このトレーサビリティの考え方が、重視されるようになりました。

事業者に、どのような義務が課されるのかというと、個人情報を①第三者に提供する側、②第三者から提供受ける側の両事業者について(ⅰ)一定の事項を記録し、(ⅱ)それを一定期間保存する義務が課されるようになりました。

個人情報を第三者に提供する側の記録義務

個人情報を第三者に提供する側は、以下の事項を記録する必要があります。

  1. 個人データを提供した年月日
  2. 第三者の氏名又は名称など、第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
  3. 本人の氏名など、本人を特定するに足りる事項
  4. 個人データの項目
    →住所、氏名、電話番号、購入履歴など、提供される個人データの種類など

個人情報を第三者から提供を受ける側の記録義務

改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。

  1. 提供者が本人の同意を得ている
  2. 提供者の氏名又は名称
  3. 提供者の住所
  4. 提供者が法人である場合は、その代表者の氏名
  5. 提供者による個人データ取得の経緯
  6. 本人の氏名など、本人を特定するに足りる事項
  7. 個人データの項目

特に、⑤提供者による個人データ取得の経緯については、提供者から、どのように個人情報を取得したのか確認し、情報をもらう必要があります。

どのように、記録すればよいの?

上記の記録ですが、実際にどのような方法で行う必要があるのでしょうか?

記録の作成形式

記録の作成形式としては、文書、データなどの何でもよいです。

どのような形式にしろ、記録されていれば、OKです。

記録の原則

上記記録については、個人情報を第三者に提供・受取る都度、速やかに作成する必要があります。

原則、後でまとめて~というのは、ダメということです。

ただし、事業者間で、個人情報を継続的or反復して提供する場合には、ある程度まとまった期間で、一括して作成してよいとされています。

本人を当事者とする契約書等に基づく個人データの提供の場合

提供・受取りの際に作成した「契約書」をもって、記録に代えることができます。

記録の保存期間は?

上記記録について、記録したら、どの程度の期間保存しておく必要があるのでしょうか?

原則としては、記録を作成してから、3年間の保存義務があります。

また、事業者間で、個人情報を継続的or反復して提供する場合には、提供したor提供を受けた日から3年となっています。

個人情報を自社以外の第三者に提供する企業は、要注意!

今回の改正で、個人情報の第三者提供が発生する場合には、事業者には義務が課せられています。

このような、事業者は、今一度、自社の体制を見直しましょう!