第三者に個人データを提供する場合の具体的な記録事項
IT・情報セキュリティ改正個人情報保護法では第三者へ個人データを提供する場合に記録義務が設けられるとのことですが、具体的に何を記録しなければいけないのでしょうか。
提供者の記録事項は、「オプトアウトによる第三者提供をする場合」と「本人の同意による第三者提供をする場合」で異なります。
第三者の氏名等、本人の氏名等、個人データの項目はいずれにも共通して記録が必要となり、「オプトアウトによる第三者提供をする場合」には「提供年月日」、「本人の同意による第三者提供をする場合」には「本人の同意」を記録する必要があります。
解説
目次
※本QAの凡例は注の通りです1。
提供者の記録事項(個人情報保護法施行規則13条)
提供者の記録事項は、「オプトアウトによる第三者提供をする場合」(下記2)と「本人の同意による第三者提供をする場合」(下記3)で異なります。
| オプトアウトによる第三者提供 | 本人の同意による第三者提供 | |
|---|---|---|
| 提供年月日 | ◯ | - |
| 第三者の氏名等 | ◯ | ◯ |
| 本人の氏名等 | ◯ | ◯ |
| 個人データの項目 | ◯ | ◯ |
| 本人の同意 | - | ◯ |
オプトアウトによる第三者提供をする場合(個人情報保護法施行規則13条1項、GL(確認記録義務編)4-2-1-1)
オプトアウト手続により個人データを第三者に提供した場合は、以下の事項を記録しなければなりません。
- 当該個人データを提供した年月日
- 当該第三者の氏名または名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
「不特定かつ多数の者に対して提供している」に該当するのは、次のような事例です。
個人データをインターネット上に公開し、不特定多数の者が閲覧できる状態に置いている場合
事例2
住宅地図を市販する場合
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
「その他の当該本人を特定するに足りる事項」に該当するのは、次のような事例です。
本人ごとに番号・IDなどを付して個人データの管理をしている場合において、当該番号・IDなどにより本人を特定できるときの当該番号・ID
実際に提供した個人データ自体に「本人の氏名その他の当該本人を特定するに足りる事項」が含まれている場合には、当該個人データ自体を保存することをもって「本人の氏名その他の当該本人を特定するに足りる事項」を記録したものとすることもできます。
具体的内容そのもの(「山田太郎」「東京都●●区●●町●番●」「03-●●●●-●●●●」など)を記録することも許されます(PC703)。
なお、たとえば「当社が有する全ての個人情報に係る本人」等の記載では、「当該本人を特定するに足りる」ものではないと解されます。
また、「平成〇年〇月〇日~平成〇年〇月〇日までの間に甲と取引をした個人」の記載のみでは、「本人を特定するに足りる事項」とは認められないと考えられます(PC684)。
さらに、DNAを第三者提供する場合の「本人を特定するに足りる事項」としては、当該DNA自体ではなく、付番されているID等でも足りるものと考えられます(PC685)。
当該個人データの項目
記載事項は、以下のような事項です。
氏名、住所、電話番号、年齢
事例2
氏名、商品購入履歴
実際に提供した個人データ自体またはその写し等を、「当該個人データの項目」の記録とすることもできます。
なお、たとえば「当社が有するいずれかの情報」等の記載では、「当該個人データの項目」には該当しないものと解されます。
本人の同意による第三者提供をする場合(個人情報保護法施行規則13条2項、 GL(確認記録義務編)4-2-1-2)
本人の同意による第三者提供をする場合は、以下の事項を記録しなければなりません。
- 本人の同意を得ている旨(個人情報保護法23条1項または24条の同意)
- 当該第三者の氏名または名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
オプトアウトによる第三者提供の場合と異なり、「当該個人データを提供した年月日」の記録は必要ありません。
本人の同意を得ている旨(個人情報保護法23条1項または個人情報保護法24条の同意)
典型例として、契約書その他の書面に本人の同意が記載されている場合が該当します。
そのほか、個人情報取扱事業者の事業の内容、第三者提供の態様等に鑑みて、同意の存在を明示的にまたは黙示的に示す証跡等がある場合には、当該証跡等をもって「同意を得ている旨」の記録とすることもできます。
たとえば、個人情報取扱事業者のシステムの設定により、本人の同意を得た場合のみ第三者提供が実施されることとなっている場合には、それをもって同意の存在を示す証跡があるものとすることができます。
その他の事項
「当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)」、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」、当該個人データの項目については、「2 オプトアウトによる第三者提供をする場合」を参考としてください。
記録事項の省略(個人情報保護法施行規則13条2項、17条2項、GL(確認記録義務編)4-2-3)
上記の記載事項のうち、すでに「第三者と個人データの提供、受領をする場合に記録を作成する方法」により作成した記録(保存している場合に限る)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができます(個人情報保護法施行規則13条2項、17条2項)。
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である記録事項を重複して確認する必要はないことから、その旨を明確にするものです。
なお、改正法施行日前に「第三者と個人データの提供、受領をする場合に記録を作成する方法」の方法に相当する方法で記録を作成しているもの(当該記録を保存している場合におけるものに限ります)についても当該事項の記録を省略することができます(個人情報保護法施行規則附則3条、5条)。
記録事項の内容は同一でなければならないため、たとえば、同一法人であっても、代表者が交代し、その後に記録を作成する場面では、改めて、新代表者の氏名について記録をしなければなりません。
記録事項のうち、一部の事項の記録の作成を個人情報保護法施行規則13条2項または17条2項に基づき省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点は、残りの事項を作成した時点とします(GL(確認記録義務編)4-2-3)。
記録の保存期間(個人情報保護法25条2項、26条4項、個人情報保護法施行規則14条)
個人情報取扱事業者は、第三者に個人データを提供した場合の記録について、以下の場合に応じて、当該記録を作成した日から一定期間保存しなければなりません(個人情報保護法25条2項、26条4項、個人情報保護法施行規則14条)。
| 場合 | 保存期間 |
|---|---|
①「契約書等の代替手段による方法」により記録を作成した場合 参考:「第三者と個人データの提供、受領をする場合に記録を作成する方法」 |
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
②「一括して記録を作成する方法」により記録を作成した場合 参考:「第三者と個人データの提供、受領をする場合に記録を作成する方法」 |
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
| ③ 上記①・②以外の場合 | 当該記録を作成した日から3年間 |
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」4-3 保存期間(法第25条第2項、第26条第4項関係)
-
- 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
- GL(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)
- PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー