\ チャンネル登録者数 12,000人を突破 /
改正個人情報保護法施行!個人情報を第三者提供する場合の事業者の義務とは

す個人情報を第三者提供する場合に「新たな義務」が課されます。
個人情報を第三者に提供する場合には、現行法でも、当事者の同意が必要になります。
改正個人情報保護法(2017年5月30日施行)でも、個人情報を第三者提供する場合には、当事者の同意が必要ですが、改正法では、さらに事業者に義務がかされることになりました。
それは「第三者提供する場合のトレーサビリティの確保」です。
トレーサビリティとは「追跡可能性」のことで、仮に、個人情報が漏洩した場合に、誰の責任で漏れたのか、早期に発見できるようにしておきましょう。ということです。
これは、2014年6月に発覚した、株式会社ベネッセコーポレーションによる会員情報流出事件がきっかけです。
ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却したことが発覚した事件で、このトレーサビリティの考え方が、重視されるようになりました。
事業者に、どのような義務が課されるのかというと、個人情報を①第三者に提供する側、②第三者から提供受ける側の両事業者について、(ⅰ)一定の事項を記録し、(ⅱ)それを一定期間保存する義務が課されるようになりました。
個人情報を第三者に提供する側の記録義務
個人情報を第三者に提供する側は、以下の事項を記録する必要があります。
- 個人データを提供した年月日
- 第三者の氏名又は名称など、第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 本人の氏名など、本人を特定するに足りる事項
- 個人データの項目
→住所、氏名、電話番号、購入履歴など、提供される個人データの種類など
個人情報を第三者から提供を受ける側の記録義務
改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。
- 提供者が本人の同意を得ている旨
- 提供者の氏名又は名称
- 提供者の住所
- 提供者が法人である場合は、その代表者の氏名
- 提供者による個人データ取得の経緯
- 本人の氏名など、本人を特定するに足りる事項
- 個人データの項目
特に、⑤提供者による個人データ取得の経緯については、提供者から、どのように個人情報を取得したのか確認し、情報をもらう必要があります。
どのように、記録すればよいの?
上記の記録ですが、実際にどのような方法で行う必要があるのでしょうか?
記録の作成形式
記録の作成形式としては、文書、データなどの何でもよいです。
どのような形式にしろ、記録されていれば、OKです。
記録の原則
上記記録については、個人情報を第三者に提供・受取る都度、速やかに作成する必要があります。
原則、後でまとめて~というのは、ダメということです。
ただし、事業者間で、個人情報を継続的or反復して提供する場合には、ある程度まとまった期間で、一括して作成してよいとされています。
本人を当事者とする契約書等に基づく個人データの提供の場合
提供・受取りの際に作成した「契約書」をもって、記録に代えることができます。
記録の保存期間は?
上記記録について、記録したら、どの程度の期間保存しておく必要があるのでしょうか?
原則としては、記録を作成してから、3年間の保存義務があります。
また、事業者間で、個人情報を継続的or反復して提供する場合には、提供したor提供を受けた日から3年となっています。
個人情報を自社以外の第三者に提供する企業は、要注意!
今回の改正で、個人情報の第三者提供が発生する場合には、事業者には義務が課せられています。
このような、事業者は、今一度、自社の体制を見直しましょう!