この記事の目次
個人情報を第三者に提供する場合には、現行法でも、当事者の同意が必要になります。
改正個人情報保護法(2017年5月30日施行)でも、個人情報を第三者提供する場合には、当事者の同意が必要ですが、改正法では、さらに事業者に義務がかされることになりました。
それは「第三者提供する場合のトレーサビリティの確保」です。
トレーサビリティとは「追跡可能性」のことで、仮に、個人情報が漏洩した場合に、誰の責任で漏れたのか、早期に発見できるようにしておきましょう。ということです。
これは、2014年6月に発覚した、株式会社ベネッセコーポレーションによる会員情報流出事件がきっかけです。
ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却したことが発覚した事件で、このトレーサビリティの考え方が、重視されるようになりました。
事業者に、どのような義務が課されるのかというと、個人情報を①第三者に提供する側、②第三者から提供受ける側の両事業者について、(ⅰ)一定の事項を記録し、(ⅱ)それを一定期間保存する義務が課されるようになりました。
個人情報を第三者に提供する側は、以下の事項を記録する必要があります。
改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。
特に、⑤提供者による個人データ取得の経緯については、提供者から、どのように個人情報を取得したのか確認し、情報をもらう必要があります。
上記の記録ですが、実際にどのような方法で行う必要があるのでしょうか?
記録の作成形式としては、文書、データなどの何でもよいです。
どのような形式にしろ、記録されていれば、OKです。
上記記録については、個人情報を第三者に提供・受取る都度、速やかに作成する必要があります。
原則、後でまとめて~というのは、ダメということです。
ただし、事業者間で、個人情報を継続的or反復して提供する場合には、ある程度まとまった期間で、一括して作成してよいとされています。
提供・受取りの際に作成した「契約書」をもって、記録に代えることができます。
上記記録について、記録したら、どの程度の期間保存しておく必要があるのでしょうか?
原則としては、記録を作成してから、3年間の保存義務があります。
また、事業者間で、個人情報を継続的or反復して提供する場合には、提供したor提供を受けた日から3年となっています。
今回の改正で、個人情報の第三者提供が発生する場合には、事業者には義務が課せられています。
このような、事業者は、今一度、自社の体制を見直しましょう!