第三者と個人データの授受をする場合に記録を作成する方法

IT・情報セキュリティ

 改正個人情報保護法では第三者と個人データの授受をする場合に記録義務が設けられるとのことですが具体的な内容について教えてください。

 個人情報取扱事業者は、原則として、個人データの授受の都度、速やかに、記録を作成しなければなりません。個人データを第三者に提供したとき、第三者から個人データの提供を受けたときの記録の作成方法は、文書、電磁的記録またはマイクロフィルムを用いて作成する方法によります。

解説

※本QAの凡例は注の通りです1

記録の作成方法(個人情報保護法施行規則12条1項、16条1項)

 個人データを第三者に提供したとき、第三者から個人データの提供を受けたときの記録の作成方法は、文書、電磁的記録またはマイクロフィルムを用いて作成する方法によります(個人情報保護法施行規則12条1項、16条1項)。
 「電磁的記録」は、電子帳簿保存法に規定されているような、真正性、見読性、保存性等を確保するための措置等の要件は求められませんが、記録の作成・保存義務の趣旨に反しない形での管理が求められると考えられます(PC613)。
 「システムログ」は「電磁的記録」に含まれるものと考えられます(PC640)。

原則(個人情報保護法施行規則12条2項本文、16条2項本文、GL(確認記録義務編)4-1-2-1)

 個人情報取扱事業者は、原則として、個人データの授受の都度、速やかに、記録を作成しなければなりません。
 なお、個人データを授受する前に記録を作成することもできます。
 本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできます。
 オプトアウトによる第三者提供については、「一括して記録を作成する方法」(下記3)、「契約書等の代替手段による方法」(下記4)は適用されないため、常に上述の原則に従い記録を作成しなければなりません。

一括して記録を作成する方法(個人情報保護法施行規則12条2項ただし書、16条2項ただし書)

 一定の期間内に特定の事業者との間で継続的にまたは反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができます。
 本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできます。
 なお、複数の本人の記録を一体として記録を作成する場合において、継続的にまたは反復して個人データを授受する対象期間内に、データ群を構成する本人が途中で変動するときも、一括して記録を作成することもできます。

【一括して記録を作成する方法に該当する事例】

事例1
最初の授受の際にいったん記録を作成した上で、継続的にまたは反復して個人データを授受する対象期間内に、随時、追加の記録事項を作成する方法

事例2
継続的にまたは反復して個人データを授受提供する対象期間内に、月ごとに記録を作成する方法

事例3
継続的にまたは反復して個人データを授受提供する対象期間の終了後、速やかに記録を作成する方法

 「確実であると見込まれるとき」の例としては、継続的にまたは反復して個人データを授受することを内容とする基本契約を締結することで、以後、継続的にまたは反復して個人データを提供することが確実であると見込まれる場合などが該当します。この場合は、当該基本契約に係る契約書をもって記録とすることができます。
 「一括して記録を作成する方法」は、例外としての記録作成方法であることに鑑みて、その対象期間、対象範囲等を明確にすることが望ましいです。

 オプトアウトの手続の場合、本記録方法は認められません。大規模漏えい事案を踏まえた個人情報の不適正流通の防止という確認・記録義務の立法趣旨に鑑みて、オプトアウトによる第三者提供を行うときは原則どおり記録を作成する必要があります(PC620、621、626)。

 なお、不特定多数の者に対して個人データの提供をするときは、その旨を記録することで足ります(個人情報保護法施行規則13条1項1号ロかっこ書)。また、(同意がある第三者提供の場合は)既に記録した事項と内容が同一であるものについては、当該事項を省略することができます(個人情報保護法施行規則13条2項)。

 参考:「第三者に個人データを提供する場合の具体的な記録事項」 2 オプトアウトによる第三者提供をする場合

 これに対しては、カーナビ製品販売等においてオプトアウトの手法を取っているのが通常であり、出荷の都度記録を残すのは無理があるとの意見があります。

契約書等の代替手段による方法(個人情報保護法施行規則12条3項、16条3項、GL(確認記録義務編)4-1-2-3)

 個人情報取扱事業者が、本人に対する物品または役務の提供に係る契約を締結し、かかる契約の履行に伴って、契約の締結の相手方を本人とする個人データを当該個人情報取扱事業者から第三者に提供する場合は、当該提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であることから、当該契約書その他の書面をもって記録とすることができます。

【具体例】

小売業者Aが顧客Bからの申込みにより販売商品の修理契約を締結し、当該契約に基づき小売業者Aが提携修理業者Cに修理業務を下請けする際に、提携修理業者Cに対して顧客Bから受け入れた修理契約申込書等の写しを交付する場合。

 個人情報保護法施行規則12条3項が適用されるのは、個人情報保護法23条1項または同法24条の同意に基づく場合に限られ、「個人データを提供した年月日」(個人情報保護法施行規則13条1項1号イ)は記録事項とされてないことに留意する必要があります(PC604)。

 参考:「第三者に個人データを提供する場合の具体的な記録事項」 3 本人の同意による第三者提供をする場合

 オプトアウトの手続の場合、本方法は利用できません。なお、個人情報保護法施行規則12条3項または16条3項の要件を充たさない書面、またはオプトアウトによる第三者提供の際に作成された書面等も、記録事項が記載されていれば記録として認められますが、保存期間の違いに留意する必要があります。
 本方法については、本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできます。

「本人に対する物品又は役務の提供」

 提供者もしくは受領者または提供者および受領者の双方が「本人に対する物品又は役務の提供」の主体となる場合を含みます。

【提供者および受領者の双方が主体となる事例】

グループ企業が親会社と子会社が共同で役務を提供する際に、親会社・子会社間で情報連携を行うことについての承諾する旨の同意書

 また、「本人に対する物品又は役務の提供」には、契約を根拠とする場合のほか、法令を根拠とする場合を含みます。

【法令を根拠とした本人に対する物品又は役務の提供に該当する事例】

自動車の運行による事故の被害者から、自動車損害賠償保障法(昭和30年法律第97号)を根拠として、加害者の自動車保有者と自動車損害賠償責任保険契約(いわゆる自賠責保険)を締結している保険会社に対して直接請求権(被害者請求権)が発生し、当該請求権の履行として当該保険会社が被害者が診療を受ける病院に診療費を支払う際に、病院との間で被害者の個人データ(診断書など)を授受する場合

「当該提供に関して作成された(契約書その他の書面)」

 複数の書面を合わせて一つの記録とすることは妨げられません。
 個人データを第三者提供する際に作成された契約書その他の書面のほか、当該個人データの内容を構成する契約書その他の書面も、「当該提供に関して作成された」ものに該当します。
 たとえば、「個人データの内容を構成する契約書その他の書面」により「本人の氏名その他の当該本人を特定するに足りる事項」および「当該個人データの項目」の記録を作成した場合には、それ以外の事項については別の「契約書その他の書面」により記録を作成することとなります。

【個人データの内容を構成する契約書その他の書面の事例】

事業者が本人を債務者とする金銭債権を第三者に債権譲渡する際の金銭債権に係る契約書

「契約書その他の書面」

 本人と提供者との間で作成した契約書のみならず、提供者と受領者との間で作成した契約書も含まれます。
 「契約書」の他にも、「その他の書面」には、個人情報取扱事業者の内部で作成された帳票、記録簿等も含まれます。 また、「契約書その他の書面」は電磁的記録を含むため(個人情報保護法施行規則7条3項参照)、システム上の記録等も「契約書その他の書面」に該当します。

代行により記録を作成する方法(GL(確認記録義務編)4-1-3)

 提供者・受領者のいずれも記録の作成方法・保存期間は同一であることに鑑みて、提供者(または受領者)は受領者(または提供者)の記録義務の全部または一部を代替して行うことができます(提供者と受領者の記録事項の相違については留意する必要があります)。
 なお、この場合であっても、提供者および受領者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければなりません。
 また、委託先の個人情報取扱事業者が委託契約の目的の範囲内で第三者との間で個人データの授受を行った場合において、一義的には委託先の個人情報取扱事業者が記録を作成する義務がありますが、委託元の個人情報取扱事業者が記録の作成を代行することができます。


    • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • GL(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)
    • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

    ↩︎

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集