改正個人情報保護法施行！個人情報を第三者提供する場合の事業者の義務とは

す個人情報を第三者提供する場合に「新たな義務」が課されます。

個人情報を第三者に提供する場合には、現行法でも、当事者の同意が必要になります。

改正個人情報保護法（２０１７年５月３０日施行）でも、個人情報を第三者提供する場合には、当事者の同意が必要ですが、改正法では、さらに事業者に義務がかされることになりました。

それは「第三者提供する場合のトレーサビリティの確保」です。

トレーサビリティとは「追跡可能性」のことで、仮に、個人情報が漏洩した場合に、誰の責任で漏れたのか、早期に発見できるようにしておきましょう。ということです。

これは、２０１４年６月に発覚した、株式会社ベネッセコーポレーションによる会員情報流出事件がきっかけです。

ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報を名簿業者３社へ売却したことが発覚した事件で、このトレーサビリティの考え方が、重視されるようになりました。

事業者に、どのような義務が課されるのかというと、個人情報を①第三者に提供する側、②第三者から提供受ける側の両事業者について、（ⅰ）一定の事項を記録し、（ⅱ）それを一定期間保存する義務が課されるようになりました。

個人情報を第三者に提供する側の記録義務

個人情報を第三者に提供する側は、以下の事項を記録する必要があります。

1. 個人データを提供した年月日
2. 第三者の氏名又は名称など、第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）
3. 本人の氏名など、本人を特定するに足りる事項
4. 個人データの項目
   →住所、氏名、電話番号、購入履歴など、提供される個人データの種類など

個人情報を第三者から提供を受ける側の記録義務

改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。

1. 提供者が本人の同意を得ている旨
2. 提供者の氏名又は名称
3. 提供者の住所
4. 提供者が法人である場合は、その代表者の氏名
5. 提供者による個人データ取得の経緯
6. 本人の氏名など、本人を特定するに足りる事項
7. 個人データの項目

特に、⑤提供者による個人データ取得の経緯については、提供者から、どのように個人情報を取得したのか確認し、情報をもらう必要があります。

どのように、記録すればよいの？

上記の記録ですが、実際にどのような方法で行う必要があるのでしょうか？

記録の作成形式

記録の作成形式としては、文書、データなどの何でもよいです。

どのような形式にしろ、記録されていれば、OKです。

記録の原則

上記記録については、個人情報を第三者に提供・受取る都度、速やかに作成する必要があります。

原則、後でまとめて～というのは、ダメということです。

ただし、事業者間で、個人情報を継続的or反復して提供する場合には、ある程度まとまった期間で、一括して作成してよいとされています。

本人を当事者とする契約書等に基づく個人データの提供の場合

提供・受取りの際に作成した「契約書」をもって、記録に代えることができます。

記録の保存期間は？

上記記録について、記録したら、どの程度の期間保存しておく必要があるのでしょうか？

原則としては、記録を作成してから、３年間の保存義務があります。

また、事業者間で、個人情報を継続的or反復して提供する場合には、提供したor提供を受けた日から３年となっています。

個人情報を自社以外の第三者に提供する企業は、要注意！

今回の改正で、個人情報の第三者提供が発生する場合には、事業者には義務が課せられています。

このような、事業者は、今一度、自社の体制を見直しましょう！

Tweet