抽選でAmazonギフト券が当たる! 2018年の企業法務を振り返るアンケート実施中

第三者から個人データの提供を受ける場合の確認方法

IT・情報セキュリティ

 改正個人情報保護法では第三者から個人データの提供を受ける場合に確認義務が設けられるとのことですが具体的な内容について教えてください。

 個人情報取扱事業者は、第三者から個人情報の提供を受ける場合には、当該第三者の氏名または名称、当該第三者の住所、当該第三者が法人の場合はその代表者の氏名、当該第三者による当該個人データの取得の経緯などを確認する必要があります。

解説

※本QAの凡例は注のとおりです1

受領者の確認義務(個人情報保護法26条1項)

確認事項

 個人情報取扱事業者は、第三者から個人データの第三者提供を受ける場合には、以下の事項を確認する必要があります(個人情報保護法26条1項)

  1. 当該第三者の氏名または名称
  2. 当該第三者の住所
  3. 当該第三者が法人にあっては、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名
  4. 当該第三者による当該個人データの取得の経緯

「第三者の氏名及び住所並びに法人にあっては、その代表者の氏名」の確認方法(個人情報保護法26条1項1号、個人情報保護法施行規則15条1項、GL(確認記録義務編)3-1-1)

 「第三者の氏名及び住所並びに法人にあっては、その代表者の氏名」(上記1-1①~③)の確認方法として、「第三者から申告を受ける方法」とされています(個人情報保護法施行規則15条1項)。
 「第三者から申告を受ける方法」の具体例は以下のとおりです。

事例1
口頭で申告を受ける方法

事例2
所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法

事例3
本人確認書類の写しの送付を受け入れる方法

 「その他の適切な方法」の具体例は以下のとおりです。

事例1
登記されている事項を確認する方法(受領者が自ら登記事項証明書・登記情報提供サービスで当該第三者の名称・住所・代表者の氏名を確認する方法)

事例2
法人番号の提示を受けて、当該法人の名称、住所を確認する方法

事例3
当該第三者が自社のホームページなどで名称、住所を公開している場合において、その内容を確認する方法

事例4
信頼性のおける民間のデータ業者のデータベースを確認する方法

事例5
上場会社等の有価証券報告書等を確認する方法

取得の経緯(個人情報保護法26条1項2号、個人情報保護法施行規則15条2項、GL(確認記録義務編)3-1-2)

(1)具体的内容

 個人情報取扱事業者は、第三者から個人データの提供を受ける際は、当該第三者による当該個人データの「取得の経緯」(上記1-1④)を確認しなければなりません。

 「取得の経緯」を確認する理由は、提供を受けようとする個人データが違法に入手されたものではないかと疑われる場合に、当該個人データの利用・流通を未然に防止する点にあります。仮に、違法に入手されたものではないかと疑われるにもかかわらず、あえて個人データの提供を受けた場合には、個人情報保護法17条1項の規定違反と判断される可能性があります。

 「取得の経緯」は、提供者自身が提供に係る個人データをどのように取得したのかを意味するものであり、個人データが転々流通している事案において、提供者より前に取得した者の取得の経緯をすべて確認することまで求められません

 下記の図でいえば、D社はC社がB社から個人データを取得した経緯について確認すれば足り、B社がA社から個人データを取得した経緯、A社が本人から個人情報を取得した経緯については確認する必要はありません。

取得の経緯(個人情報保護法26条1項2号、個人情報保護法施行規則15条2項、GL(確認記録義務編)3-1-2):D社はC社がB社から個人データを取得した経緯について確認すれば足り、B社がA社から個人データを取得した経緯、A社が本人から個人情報を取得した経緯については確認する必要はありません

 これは、①提供者が知っているのは、通常、その提供者自身がどのような経緯で取得したかという点のみであり、提供者が取得する以前にその個人データがどのように流通してきたかという過程まで示されることは困難であると考えられること、②個人データが転々流通することから、それぞれの提供場面において、各提供者が自身の取得の経緯を提供を受ける者に報告すれば、個人情報保護委員会が各事業者に保存された記録を基に個人データの流通経路をたどることが可能であるからです。

 「取得の経緯」の具体的な内容は、個人データの内容、第三者提供の態様などにより異なり得ますが、基本的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければなりません。

(2)確認方法

 「取得の経緯」の確認方法は、「個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法」とされています(個人情報保護法施行規則15条2項)。
 確認方法として、適切な方法に該当するのは以下のとおりです。

事例1
提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法

事例2
提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法

事例3
提供者による取得の経緯が明示的または黙示的に示されている、提供者と受領者間の契約書面を確認する方法

事例4
提供者が本人の同意を得ていることを誓約する書面を受け入れる方法

事例5
提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法

事例6
本人による同意書面を確認する方法

 口頭で申告を受ける方法も否定されませんが、個人情報保護法17条1項に抵触しないことが担保されるように、正確に確認し、個人情報保護法26条3項に基づき記録を作成しなければなりません(Q&A10-23)。

すでに確認を行った第三者に対する確認方法

 複数回にわたって個人データの授受をする場合において、同一の内容である事項を重複して確認する合理性はないため、すでに上記の方法により確認を行い、「受領者の記録義務」(「第三者と個人データの授受をする場合に記録を作成する方法」参照)に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができます(個人情報保護法施行規則15条3項)。

 なお、改正個人情報保護法の全面施行日前に上記に相当する方法で確認を行い、「受領者の記録義務」(「第三者と個人データの授受をする場合に記録を作成する方法」参照)に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができます(個人情報保護法施行規則附則4条)。

確認事項の偽りの禁止(改正個人情報保護法26条2項)

 個人データを提供する第三者は、個人情報取扱事業者が個人情報保護法26条1項に基づき、氏名・住所等や取得の経緯について確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはなりません。

 この義務は、個人情報取扱事業者だけでなく、改正個人情報保護法25条に基づく個人データを第三者に提供する際の記録の作成・保存義務を負わない個人に対しても課せられます。

 この義務に違反した場合は、10万円以下の過料に処せられます(改正個人情報保護法88条1号)。


    • 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
    • GL(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)

    ↩︎

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する