第三者から個人データの提供を受ける場合の確認・記録義務

IT・情報セキュリティ 公開 更新

 改正個人情報保護法では、個人データの第三者提供に係る確認・記録義務が設けられるとのことですが、具体的な内容について教えてください。

 個人情報取扱事業者は、個人データを第三者に提供する場合、「個人データを提供した年月日」、「当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項」、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」、「当該個人データの項目」等を記録し、一定期間保存する必要があります。

 また、個人情報取扱事業者は、第三者から個人情報の提供を受ける場合には、「当該第三者の氏名及び住所等」及び「当該第三者による当該個人データの取得の経緯」を確認し、これらの事項と共に、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」や「当該個人データの項目」等を記録し、一定期間保存する必要があります。

解説

目次

  1. 改正の背景
    1. 会員情報流出事件
    2. ガイドラインの改訂内容
    3. 個人情報保護法の改正
  2. 規制の概要
  3. 確認・記録義務がない場合
    1. 個人情報保護法23条1項各号に該当する場合
    2. 個人情報保護法23条5項各号に該当する場合
    3. 第三者から除外される者
    4. 解釈により提供者および受領者に確認・記録義務が適用されない場合(GL(確認記録義務編)2-2-1)
    5. 解釈により受領者に確認・記録義務が適用されない場合(GL(確認記録義務編)2-2-2)
    6. 個人情報取扱事業者でない個人が提供する場合
    7. 一般事業者に確認・記録義務が適用されることはほとんどない
  4. 事業者に確認義務・記録の作成・保存義務の違反がある場合

※本QAの凡例は注のとおりです1

改正の背景

会員情報流出事件

 本改正の背景は、平成26年6月に発覚した、株式会社ベネッセコーポレーション(以下「ベネッセ」といいます)の会員情報の流出です。
 平成26年6月27日、ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報(下記項目)を名簿業者3社へ売却したことが発覚しました(参照:ベネッセお客様本部「事故の概要」)。

 漏えいした情報は以下の情報でした(クレジットカード情報が名簿業者へ売却された事実は一切確認されませんでした)。

  • サービス登録者の氏名、性別、生年月日
  • 同時に登録した保護者または子供の氏名、性別、生年月日、続柄
  • 郵便番号
  • 住所
  • 電話番号
  • FAX番号(登録者のみ)
  • 出産予定日(一部のサービス利用者のみ)
  • メールアドレス(一部のサービス利用者のみ)
(出典:ベネッセお客様本部「事故の概要」)

 この事件を受けて、旧・経産省ガイドライン(平成26年12月12日厚生労働省・経済産業省告示第4号)が改訂され、個人データのトレーサビリティーの確保を図る規程が設けられました。

ガイドラインの改訂内容

 すなわち、第三者からの提供(個人情報保護法23条1項各号に掲げる場合ならびに個人データの取扱いの委託、事業の承継および共同利用に伴い、個人情報を提供する場合を除く)により、個人情報(個人情報保護法施行令2条2号に規定するものから取得した個人情報を除く)を取得する場合には、提供元の法の遵守状況(たとえば、オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、たとえば、取得の経緯を示す契約書等の書面を点検する等により、当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましいこととされました。

 旧・金融庁ガイドラインにおいても、同様の規定が設けられました。

個人情報保護法の改正

 改正個人情報保護法においては、これらのガイドラインをより発展させた規定が設けられました(個人情報保護法25条、26条)。ガイドラインにおいては、個人データの提供を受ける側の確認の努力義務でしたが、改正個人情報保護法においてはこれが法的義務化すると共に、個人データの提供をする側の記録の作成義務も規定されています。

 このように個人データの提供元の記録および個人データの提供先の確認・記録によって、個人情報保護委員会は、個人データを漏えいした者を追跡することが可能となります。

規制の概要

 個人情報取扱事業者は、個人データを第三者に提供したときは、当該個人データを提供した年月日、当該第三者の氏名または名称その他の個人情報保護委員会規則で定める事項に関する記録を作成し、これを一定期間保存しなければなりません(改正個人情報保護法25条1項、2項)

第三者提供に係る記録の作成・保存義務(個人情報保護法25条)

 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、当該第三者の氏名および住所等、当該第三者による当該個人データの取得の経緯について確認をするとともに、記録の作成・保存を行わなければなりません(改正個人情報保護法26条)。個人データの提供をする「第三者」が、個人情報取扱事業者に該当しない個人である場合にもかかる確認・記録義務はあります。

第三者提供を受ける際の確認及び記録の作成・保存義務(個人情報保護法26条)

確認・記録義務がない場合

個人情報保護法23条1項各号に該当する場合

 当該個人データの提供が「法令に基づく場合」等の個人情報保護法23条1項各号に該当する場合については、提供者には個人情報保護法25条の記録義務、受領者には26条の確認・記録義務はありません
 これは、個人情報保護法23条1項各号の要件を満たして提供された個人データが転々流通することがほとんど想定されないことから、確認や記録の作成・保存をするまでの必要がないと考えられたためです。

  1. 法令に基づく場合
  2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

個人情報保護法23条5項各号に該当する場合

 「個人データの取扱いの委託」、「合併等の事業承継に伴う場合」、「個人データの共同利用」といった個人情報保護法23条5項各号のいずれかに該当する場合については、提供者には個人情報保護法25条の記録義務、受領者には26条の確認・記録義務はありません

 これは、個人情報保護法23条5項各号の要件を満たす場合は、提供者と受領者とを一体としてみることができるため第三者提供の規律(同条1項から4項まで)もかからないことから、確認や記録の作成・保存をするまでの必要がないと考えられたためです。

 ただし、外国にある第三者に個人データの提供をする場合(個人情報保護法24条)には、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」または「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な基準に適合する体制を整備している者」に該当する場合を除き、個人情報保護法23条5項各号に該当する場合も記録の作成・保存義務があります。

  1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合
  2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
  3. 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨ならびに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているとき。

第三者から除外される者

 以下の者(個人情報保護法2条5項各号に列挙される者)に個人データを提供する場合には、個人情報取扱事業者に記録義務はありません(個人情報保護法25条、26条)。

  • 国の機関
  • 地方公共団体
  • 独立行政法人等
  • 地方独立行政法人

解釈により提供者および受領者に確認・記録義務が適用されない場合(GL(確認記録義務編)2-2-1)

 個人情報保護法ガイドライン(確認記録義務編)において、以下のとおり、実質的に「第三者提供」ではないと評価できる場合は、確認・記録義務はないと定められています

場合 事例
本人による提供と整理できる場合 個人情報取扱事業者がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者および取得した個人情報取扱事業者の双方において、確認・記録義務は適用されない。
本人に代わって提供する場合 事例1
本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合

事例2
事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合

事例3
事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合

事例4
本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合

事例5
保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に提供する場合

事例6
取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合

事例7
事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合

事例8
本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
本人と一体と評価できる関係にある者に提供する場合 金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合
提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行う場合 振込依頼人の法人が、受取人の口座に振り込むため、個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行に提供する場合
不特定多数の者が取得できる公開情報
*特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
ホームページ等で公表されている情報、報道機関により報道されている情報。
*当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない(個人情報保護法施行規則13条1項1号ロかっこ書)。
*いわゆる公開情報であっても、「個人情報」(個人情報保護法2条1項)に該当するため、個人情報保護法第4章第1節のうち、確認・記録義務以外の規定は適用される。

解釈により受領者に確認・記録義務が適用されない場合(GL(確認記録義務編)2-2-2)

 個人情報保護法26条は、「個人データ」の提供を受ける際に適用される義務であるところ、「個人情報」には該当するが「個人データ」には該当しない情報の場合、または、そもそも「個人情報」に該当しない情報の提供を受けた場合は、同条の義務は適用されません

場合 事例
受領者にとって「個人データ」に該当しない場合
*受領者を基準に判断されるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
*提供を受ける時点において、個人データに該当する場合には、確認・記録義務が適用される。
個人情報取扱事業者の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の個人情報取扱事業者の営業担当者に渡す場合
受領者にとって「個人情報」に該当しない場合 事例1
提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合

事例2
提供者で管理しているID番号のみが付された個人データの提供を受けた場合
単に閲覧をする行為の場合 -
一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないとき -

個人情報取扱事業者でない個人が提供する場合

 本規制は個人情報取扱事業者の義務であるので、個人情報取扱事業者ではない個人が個人データを提供する場合には、当該個人は記録の作成・保存義務はありません

 なお、改正法により、過去6か月間5,000以下の個人データしか保有しない場合の個人情報取扱事業者からの除外が廃止されます(個人情報保護法2条1項)。したがって、個人であっても事業者であれば個人情報取扱事業者として第三者提供に係る作成・記録義務を負います。

一般事業者に確認・記録義務が適用されることはほとんどない

 第三者提供に係る確認・記録義務はもともと、名簿業者がいい加減なオプトアウトをして個人データを第三者提供していたことに端を発した制度設計です。

 一般の事業者が本人の同意を得て個人データを第三者提供する場合は、ほとんど、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」、「解釈により受領者に確認・記録義務が適用されない場合」に該当し、確認・記録義務は適用されないと考えてよいです。特に、解釈上の例外である「本人に代わって提供する場合」に該当するケースが多いでしょう。

 ただし、オプトアウト手続により、提供・受領をする場合には、必ず第三者提供に係る確認・記録義務があることになります(Q&A 10-21)。

事業者に確認義務・記録の作成・保存義務の違反がある場合

 個人情報保護委員会は、①事業者に対して、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告すること、②勧告を受けた事業者が正当な理由なく勧告された措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認められるときは、勧告した措置をとるよう命令することができます(個人情報保護法42条1項・2項)。

 個人情報保護委員会は事業者に対して、個人情報の取扱いについて報告を求め、または立入検査を行うことができます(個人情報保護法40条)。

 命令を受けた事業者が命令に従わない場合は、6か月以下の懲役または30万円以下の罰金に処せられます(改正個人情報保護法84条)。

<追記>
2017年12月27日(水)14:05:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

    • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
    • 経産省ガイドライン:「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成28年12月28日厚生労働省・経済産業省告示第2号)
    • 旧・金融庁ガイドライン:「金融分野における個人情報保護に関するガイドライン」(平成21年11月20日金融庁告示第63号)
    • 個人情報保護法ガイドライン(確認記録義務編)・GL(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)
    • Q&A:「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(平成29年2月16日個人情報保護委員会)
    • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

    ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する