第三者から個人データを受領する場合の具体的な記録事項
IT・情報セキュリティ改正個人情報保護法では第三者から個人データを受領する場合に記録義務が設けられるとのことですが、具体的に何を記録しなければいけないのでしょうか。
受領者の記録事項は、「オプトアウトによる第三者提供を受ける場合」、「本人の同意に基づき第三者提供を受ける場合」、「私人から第三者提供を受ける場合」で異なります。
第三者の氏名等、取得の経緯、本人の氏名等、個人データの項目はいずれにも共通して記録が必要となり、「オプトアウトによる第三者提供を受ける場合」には「提供を受けた年月日」、「個人情報保護委員会による公表」を、「本人の同意に基づき第三者提供を受ける場合」には「本人の同意」を記録する必要があります。
解説
※本QAの凡例は注の通りです1。
受領者の記録事項(個人情報保護法施行規則17条)
受領者の記録事項は、「オプトアウトによる第三者提供を受ける場合」(下記2)、「本人の同意に基づき第三者提供を受ける場合」(下記3)、「私人から第三者提供を受ける場合」(下記4)で異なります。
| オプトアウトによる 第三者提供 |
本人の同意による 第三者提供 |
私人からの第三者提供 | |
|---|---|---|---|
| 提供を受けた年月日 | ◯ | - | - |
| 第三者の氏名等 | ◯ | ◯ | ◯ |
| 取得の経緯 | ◯ | ◯ | ◯ |
| 本人の氏名等 | ◯ | ◯ | ◯ |
| 個人データの項目 | ◯ | ◯ | ◯ |
| 個人情報保護委員会による公表 | ◯ | - | - |
| 本人の同意 | - | ◯ | - |
オプトアウトによる第三者提供を受ける場合(個人情報保護法施行規則17条1項1号)
オプトアウト手続により個人データを第三者から受領した場合は、以下の事項を記録しなければなりません。
- 個人データの提供を受けた年月日
- 当該第三者の氏名または名称
- 当該第三者の住所
- 当該第三者が法人である場合は、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
- 当該第三者による当該個人データの取得の経緯
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
- 個人情報保護法23条4項に基づき個人情報保護委員会による公表がされている旨
取得の経緯
(1)具体的内容
個人情報取扱事業者は、第三者から個人データの提供を受ける際は、当該第三者による当該個人データの「取得の経緯」を確認しなければなりません。
「取得の経緯」を確認する理由は、提供を受けようとする個人データが違法に入手されたものではないかと疑われる場合に、当該個人データの利用・流通を未然に防止する点にあります。仮に、違法に入手されたものではないかと疑われるにもかかわらず、あえて個人データの提供を受けた場合には、個人情報保護法17条1項の規定違反と判断される可能性があります。
「取得の経緯」は、提供者自身が提供に係る個人データをどのように取得したのかを意味するものであり、個人データが転々流通している事案において、提供者より前に取得した者の取得の経緯をすべて確認することまで求められません。
これは、①提供者が知っているのは、通常、その提供者自身がどのような経緯で取得したかという点のみであり、提供者が取得する以前にその個人データがどのように流通してきたかという過程まで示されることは困難であると考えられること、②個人データが転々流通することから、それぞれの提供場面において、各提供者が自身の取得の経緯を提供を受ける者に報告すれば、個人情報保護委員会が各事業者に保存された記録を基に個人データの流通経路をたどることが可能であるからです。
「取得の経緯」の具体的な内容は、個人データの内容、第三者提供の態様などにより異なり得ますが、基本的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければなりません。
(2)確認方法
「取得の経緯」の確認方法は、「個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法」とされています(個人情報保護法施行規則15条2項)。
確認方法として、適切な方法に該当するのは以下のとおりです。
提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法
事例2
提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
事例3
提供者による取得の経緯が明示的または黙示的に示されている、提供者と受領者間の契約書面を確認する方法
事例4
提供者が本人の同意を得ていることを誓約する書面を受け入れる方法
事例5
提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法
事例6
本人による同意書面を確認する方法
口頭で申告を受ける方法も否定されませんが、個人情報保護法 17 条1項に抵触しないことが担保されるように、正確に確認し、個人情報保護法26条3項に基づき記録を作成しなければなりません(Q&A10-23)
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
「その他の当該本人を特定するに足りる事項」に該当するのは、次のような事例です(GL(確認記録義務編)4-2-1-1)。
本人ごとに番号・IDなどを付して個人データの管理をしている場合において、当該番号・IDなどにより本人を特定できるときの当該番号・ID
実際に提供した個人データ自体に「本人の氏名その他の当該本人を特定するに足りる事項」が含まれている場合には、当該個人データ自体を保存することをもって「本人の氏名その他の当該本人を特定するに足りる事項」を記録したものとすることもできます。
具体的内容そのもの(「山田太郎」「東京都●●区●●町●番●」「03-●●●●-●●●●」など)を記録することも許されます(PC703)。
なお、たとえば「当社が有する全ての個人情報に係る本人」等の記載では、「当該本人を特定するに足りる」ものではないと解されます(GL(確認記録義務編)4-2-1-1)。
また、「平成〇年〇月〇日~平成〇年〇月〇日までの間に甲と取引をした個人」の記載のみでは、「本人を特定するに足りる事項」とは認められないと考えられます(PC684)。
さらに、DNAを第三者提供する場合の「本人を特定するに足りる事項」としては、当該DNA自体ではなく、付番されているID等でも足りるものと考えられます(PC685)。
当該個人データの項目
記載事項は、以下のような事項です(GL(確認記録義務編)4-2-1-1)。
氏名、住所、電話番号、年齢
事例2
氏名、商品購入履歴
実際に提供した個人データ自体またはその写し等を、「当該個人データの項目」の記録とすることもできます。
なお、たとえば「当社が有するいずれかの情報」等の記載では、「当該個人データの項目」には該当しないものと解されます。
本人の同意に基づき第三者提供を受ける場合(個人情報保護法施行規則17条1項2号)
本人の同意による第三者提供により個人データを受領する場合は、以下の事項を記録しなければなりません(個人情報保護法施行規則17条1項2号)。
- 本人の同意を得ている旨(個人情報保護法23条1項または24条の同意)
- 当該第三者の氏名または名称
- 当該第三者の住所
- 当該第三者が法人である場合は、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名
- 当該第三者による当該個人データの取得の経緯
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
本人の同意を得ている場合
典型例として、契約書その他の書面に本人の同意が記載されている場合が該当します。
そのほか、個人情報取扱事業者の事業の内容、第三者提供の態様等に鑑みて、同意の存在を明示的にまたは黙示的に示す証跡等がある場合には、当該証跡等をもって「同意を得ている旨」の記録とすることもできます。
たとえば、個人情報取扱事業者のシステムの設定により、本人の同意を得た場合のみ第三者提供が実施されることとなっている場合には、それをもって同意の存在を示す証跡があるものとすることができます(GL(確認記録義務編)4-2-1-2)。
取得の経緯
「2 オプトアウトによる第三者提供を受ける場合、2-1 取得の経緯」をご参照ください。
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
「2 オプトアウトによる第三者提供を受ける場合、2-2 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」をご参照ください。
当該個人データの項目
「2 オプトアウトによる第三者提供を受ける場合、2-3 当該個人データの項目」をご参照ください。
私人から第三者提供を受ける場合(個人情報保護法施行規則17条1項3号)
- 当該第三者の氏名または名称
- 当該第三者の住所
- 当該第三者が法人である場合は、その代表者(法人でない団体で代表者また又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
- 当該第三者による当該個人データの取得の経緯
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
取得の経緯
「2 オプトアウトによる第三者提供を受ける場合、2-1 取得の経緯」をご参照ください。
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
「2 オプトアウトによる第三者提供を受ける場合、2-2当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」をご参照ください。
当該個人データの項目
「2 オプトアウトによる第三者提供を受ける場合、2-3 当該個人データの項目」をご参照ください。
記録事項の省略(個人情報保護法施行規則13条2項、17条2項、GL(確認記録義務編)4-2-3)
上記の記載事項のうち、すでに「Q10-2 第三者と個人データの授受をする場合に記録を作成する方法」により作成した記録(保存している場合に限る)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができます。
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である記録事項を重複して確認する必要はないことから、その旨を明確にするものです。
なお、改正法施行日前に「第三者と個人データの授受をする場合に記録を作成する方法」に記載した方法に相当する方法で記録を作成しているもの(当該記録を保存している場合におけるものに限ります)についても当該事項の記録を省略することができます(個人情報保護法施行規則附則3条、5条)。
記録事項の内容は同一でなければならないため、たとえば、同一法人であっても、代表者が交代し、その後に記録を作成する場面では、改めて、新代表者の氏名について記録をしなければなりません。
記録事項のうち、一部の事項の記録の作成を個人情報保護法施行規則13条2項または17条2項に基づき省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点は、残りの事項を作成した時点とします。
記録の保存期間(個人情報保護法25条2項、26条4項、個人情報保護法施行規則14条)
個人情報取扱事業者は、第三者から個人データを提供した場合の記録について、以下の場合に応じて、当該記録を作成した日から一定期間保存しなければなりません。
| 場合 | 保存期間 |
|---|---|
①「契約書等の代替手段による方法」により記録を作成した場合 参考:「第三者と個人データの提供、受領をする場合に記録を作成する方法」 |
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
②「一括して記録を作成する方法」により記録を作成した場合 参考:「第三者と個人データの提供、受領をする場合に記録を作成する方法」 |
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
| ③上記①・②以外の場合 | 当該記録を作成した日から3年間 |
-
- 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
- GL(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)
- PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・コンプライアンス
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー