| 会員番号 1795 藤澤 博(個人情報保護監査研究会) |
|
| |
今月号では「第四章 個人情報取扱事業者の義務等」から解説します。今回ご紹介する条項はすべて未施行で、交付の日(2015年9月9日)から二年を越えない範囲において施行される予定です。
(※2016年7月15日 「個人情報の保護に関する法律施行令(改正案)」、「個人情報保護委員会規則(案)」
の内容を追記しています。)
(※2016年3月に公表された株式会社野村総合研究所の「経済産業分野を対象とする個人情報保護に係る制度整備等調査研究報告書」では経済産業省ガイドライン案が出されています。その概要についても追記します。)
|
【表記について】
新個人情報保護法制定にあたり、第24条~第26条が新設され、例えば第25条は(第三者提供に係る記録の作成等)となります。しかしながら、2016年6月1日現在、政府の法令サイトでは、第二十五条は(開示)のままで公表されています。
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
この連載では、最終改定の内容について解説するため、現行の条項番号を漢数字で、最終改定後の条項番号をアラビア数字で区別して、ご紹介していきます。
|
第四章 個人情報取扱事業者の義務等
第一節 個人情報取扱事業者の義務
第十五条(利用目的の特定)
| 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 |
| 2 |
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
|
- “相当の” が削除された理由:“相当の”を判断することが困難であるという理由だと考えられます。“あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。”原則には変わりがありません。
- 2016年3月に公表された、株式会社野村総合研究所 から「経済産業分野を対象とする個人情報保護に係る制度整備等調査研究 報告書」では、
相当のが削除された理由として、変更前の利用目的と関連性を有すると合理的に認められる範囲が拡大された。とし、必ずしも同一の事業の範囲内に限定するものではない。として、各種拡大してよい事例が掲載されました。
- (関連性を勘案するための主だった観点)
- 事業者が提供する商品・サービス
- 個人情報の利用の態様
- 【本人が想定することが困難でないと認められる範囲内に該当する事例】
- 事例1)「当社の運営する○○技術者試験の受験者情報のデータベース登録」とした利用目的において「○○技術者試験結果の受験者宛通知」を利用目的 に追加すること。
- 事例2)「当社の提供する新商品・サービスに関する情報のお知らせ」とした 利用目的において「既存の関連商品・サービスに関する情報のお知らせ」 を追加すること。
- 事例3)「当社の提供する既存の商品・サービスに関する情報のお知らせ」と した利用目的において「新規に提供を行う関連商品・サービスに関する 情報のお知らせ」を追加すること。
- <具体例> フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの 開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する。
- <解説> 新たに始めた「栄養指導サービス」は、会員が当該事業者に期待する健康サービスと関連性があり、会員にとって、想定することが困難でないと認められる範囲にあると考えられる。
- 事例4)「当社の提供する商品○○の配達先登録」とした利用目的において「関連商品△△の案内」を利用目的に追加すること。
- <具体例> 和食店が、顧客から出前料理の注文を受け付けた際の情報を用いて、後日、 当該顧客に対し、和風お節料理の案内を行う。
- <解説> 和食店が案内する「和風お節料理」はケータリングサービスにおける品揃えの一部として提供している他の商品・サービスであり、顧客にとって、 想定することが困難でないと認められる範囲にあると考えられる。
- 事例5)「当社の行う既存の商品・サービスの提供」とした利用目的において 「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追 加すること。
- <具体例> 防犯目的で警備員が駆けつけるサービスの提供のため個人情報を保有していた事業者が、事業拡大に伴い始めた「高齢者見守りサービス」につい て、既存顧客に当該サービスを案内するためのダイレクトメールを配信す る。
- <解説> 「高齢者見守りサービス」は顧客に安全を提供するサービスである点で 変更前のサービスと関連性を有しており、顧客にとって、想定することが 困難でないと認められる範囲にあると考えられる。
- 事例6)「当社の行う商品・サービスの提供」とした利用目的において「当社の 提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加 すること。
- <具体例> 住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提 携先である電力会社の自然エネルギー買い取りサービスを紹介すること。
- <解説> 「発電機器の販売」と「発電した電力の買い取りサービス」とは、顧客 にとって、想定することが困難でないと認められる範囲にあると考えられ る。
- 事例7)「当社の行う商品・サービスの提供」とした利用目的において「関連の商品・サービスの研究開発」を追加すること。
- <具体例> 電力会社が、顧客に省エネを促す目的で、家庭内の機器ごとの電力使用状 況を収集し、その使用量等を分析して顧客に提示していたところ、同じ情報を用いて、省エネに資する家電制御技術の研究開発を行う。
- <解説> 「省エネ目的の電力使用量の分析」と「省エネに資する家電制御技術の研 究開発」とは、顧客にとって、想定することが困難でないと認められる範 囲にあると考えられる。
|
第十七条(適正な取得)
| 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 |
| 2 |
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 |
| 一 |
法令に基づく場合 |
| 二 |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 |
| 三 |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 |
| 四 |
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 |
| 五 |
当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 |
| 六 |
その他前各号に掲げる場合に準ずるものとして政令で定める場合 |
|
- 一の「法令に基づく場合」とは、弁護士など、守秘義務を負った専門家が、本人の犯罪経歴について調査をするなど、特殊な場合に限定されると考えられます。
- “本人の同意を得ることが困難であるとき”という条件は重要です。経済産業省GLでは、原則として、取得した後に、本人に通知をすることが望ましいとされています。
- 政令で定めるものとして、個人情報の保護に関する法律施行令(改正案)が公表されました。
| ★2016年7月15日 個人情報の保護に関する法律施行令(改正案) |
第七条(要配慮個人情報を本人の同意なく取得することができる場合)
| 法第17条第二項第六号の政令で定める場合は、次に掲げる場合とする。 |
| 一 |
本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合 |
| 二 |
法第二十三条第五項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。 |
|
- これまで公共の場で撮影した写真の取扱について、本人からの同意が必要かどうか判断が避けられていましたが、施行令案第七条一項で、要配慮個人情報であっても本人の同意なく取得することができるとされたことで、一般的にも本人の同意なく取得することができると考えられます。
- 個人情報保護委員会規則(案)も公表されました。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第六条
| 法第十七条第二項第五号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。 |
| 一 |
外国政府、外国の政府機関、外国の地方公共団体又は国際機関 |
| 二 |
外国において法第76条第一項各号に掲げる者に相当する者 |
|
- 第76条では、第一項各号に掲げる者について、民間事業者の義務条項の適用除外とされています。規則案では、外国においても以下に相当する者についても適用除外とすることが明確にされました。
- 一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)
:報道の用に供する目的
- 二 著述を業として行う者
:著述の用に供する目的
- 三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
:学術研究の用に供する目的
- 四 宗教団体
:宗教活動(これに付随する活動を含む。)の用に供する目的
- 五 政治団体
:政治活動(これに付随する活動を含む。)の用に供する目的
|
第十八条(取得に際しての利用目的の通知等)
| 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 |
| 2 |
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 |
| (以下省略) |
|
- 「個人情報データベース等」のうち、一定の規則で匿名化したものを、第三者提供できるようにするため、カッコ書きに “電磁的記録”が追加されました。
|
第十九条(データ内容の正確性の確保等)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 |
|
|
- 特定個人情報ガイドライン第4-3-(3)B(保管制限と廃棄)では、継続して保管できる事例として、以下が記述されています。
- * (中略)従業員等から提供を受けた個人番号を給与の源泉徴収事務、健康保険・厚生年金保険届出事務等のために翌年度以降も継続的に利用する必要が認められることから、特定個人情報を継続的に保管できると解される。
- 特定個人情報ガイドライン(別添)特定個人情報に関する安全管理措置(事業者編) E 物理的安全管理措置d(個人番号の削除、機器及び電子媒体等の廃棄)に、以下の 具体的な廃棄方法が記載されています。事業者は、これを参考にして、リスクに応じた対策を安全管理規程等に定める必要があります。
- 手法の例示≫
- 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
- 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
- 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
- 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
- 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定める。
- 【中小規模事業者における対応方法】
○ 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
|
第二十条(安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
|
|
- 第二十条については、改定はありませんが、関連して附則第11条が追加されました。今回改正では「過去6 カ月以内のいずれの日においても 5,000 人を超えない者」にも法が適用されることになりましたので、小規模事業者への配慮を規定したものです。
附則第11条(事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定に当たっての配慮)
個人情報保護委員会は,新個人情報保護法第八条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては,この法律の施行により旧個人情報保護法第 2 条第 3 項第 5 号に掲げる者が新たに個人情報取扱事業者になることに鑑み,特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする。 |
|
|
- 特に小規模の事業者については、事業の規模及び実態、取り扱う個人データの性質及び量や主に 個人データの記録・管理の態様等に応じた措置を講じることが望ましい。とし、「望ましい」と記載されている規定については、 事業規模・リスク等を勘案しつつ選択的に実施する。としています。
|
|
第二十三条(第三者提供の制限)
| 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 |
| |
一 |
法令に基づく場合 |
| |
二 |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 |
| |
三 |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 |
| |
四 |
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 |
| 2 |
個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。 |
| |
一 |
第三者への提供を利用目的とすること。 |
| |
二 |
第三者に提供される個人データの項目 |
| |
三 |
第三者への提供の方法 |
| |
四 |
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。 |
| |
五 |
本人の求めを受け付ける方法 |
| 3 |
個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。 |
|
- 第2項は、オプトアウト規定(本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する)です。プライバシーマークでは、現在オプトアウトは不適合とされていますので注意が必要です。
- オプトアウト規定に従い(あらかじめ本人から同意を得ずに)第三者提供をしようとする事業者は、以下の手順に従うことにより、第三者に提供することができます。
- あらかじめ、一~五の項目を本人に通知、又は公表する。
- ただちに個人情報保護委員会に届け出る。
- 保護委員会は、その内容を公表する。(第二十三条4項の規定:後述)
- その後、第三者に提供することができる。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第七条 (第三者提供に係る事前の通知等)
| 通知又は容易に知り得る状態に置く措置は、次に掲げるところにより、行うものとする。 |
| |
一 |
第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。 |
| |
二 |
本人が法第二十三条第二項各号に掲げる事項を確実に認識できる適切かつ合理的な方法によること。 |
|
- 規則案第七条第一項は、通知もしくは公表した後、本人が提供を停止するための期間を設けることを指します。つまり、通知もしくは公表しても、すぐには提供することができません。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第七条 (第三者提供に係る事前の通知等)
| 2 |
法第二十三条第二項又は第三項の規定による届出は、次に掲げる方法のいずれかにより行わなければならない。 |
| |
一 |
個人情報保護委員会が定めるところにより、電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と届出を行う者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。 )を使用する方法 |
| |
二 |
別記様式第一による届出書及び当該届出書に記載すべき事項を記録した光ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下「光ディスク等」という。)を提出する方法 |
| 3 |
個人情報取扱事業者が、代理人によって 法第二十三条第二項又は第三項の規定による届出を行う場合には、別記様式第二によるその権限を証する書面(電磁的記録を含む。以下同じ。)を個人情報保護委員会 に提出しなければならない。 |
|
- 規則案第七条第二項一では、今後“個人情報保護委員会が定めるところにより”、電子情報処理組織(例えばポータルサイトなど)を設置し、申請書のアップロードなど受け付ける手順が検討されています。
- 規則案第七条第二項二の、別記様式第一案は、すでに公開されており、以下の項目を記載する形式となっています。
- 届出をする個人情報取扱事業者の概要(法人番号を含む)
- 届出項目
- 本人の求めに応じて本届出書に係る当該本人が識別される個人データの第三者への提供を停止すること。
- 第二十三条2項の一~五の項目
- 個人情報保護委員会による公表に関する希望日
- 個人データの第三者への提供が、法令等に抵触するものではないこと。
- 添付書類:委任状(代理人により届出を行う場合に限る。)
- 別記様式第一案 の提出は、記名押印又は署名が必要なため、電子文書の提出が可能か、持参・郵送に限定されるのか明確ではありません。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第八条 (外国にある個人情報取扱事業者の代理人)
| 外国にある個人情報取扱事業者は、法第二十三条第二項又は第三項の規定による届出を行う場合には、国内に住所を有する者であって、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を有するものを定めなければならない。この場合において、当該個人情報取扱事業者は、当該届出と同時に、当該個人情報取扱事業者が国内に住所を有する者に、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を付与したことを証する書面(日本語による翻訳文を含む。)を 個人情報保護委員会に提出しなければならない。 |
|
- 法規制のため、外国にある個人情報取扱事業者は、国内に住所を有する代理人を立てることになります。
第二十三条(第三者提供の制限)つづき
| 4 |
個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。 |
|
- 公表されるのは、届け出から何日間経過した範囲であるのか、明確になっていません。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第九条 (第三者提供に係る個人情報保護委員会による公表)
| 法第二十三条第四項の規定による公表は、同条第二項又は第三項の規定による届出があった後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。 |
|
- オプトアウト規定に従い第三者提供をしようとする事業者から届出があった、別記様式第一案 の内容は、個人情報保護委員会の管理下のホームページ等に公表されることになりました。
第二十三条(第三者提供の制限)つづき
| 5 |
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。 |
| |
一 |
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合 |
| |
二 |
合併その他の事由による事業の承継に伴って個人データが提供される場合 |
| |
三 |
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 |
| 6 |
個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 |
|
- 第5項の三は、共同利用について規定しています。プライバシーマークでは、共同利用は第三者提供の一類型とされていますが、新法では、“第三者に該当しない”という概念が導入されました。(現行の経済産業省GLでも同様の概念です。)しかし、“直接本人から取得”ではありませんので、必要事項を公表する必要があります。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十条(第三者提供に係る個人情報取扱事業者による公表)
| 個人情報取扱事業者は、法第二十三条第四項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、同条第二項に掲げる事項(同項第二号、第三号又は第五号に掲げる事項に変更があったときは、変更後の当該各号に掲げる事項)を公表するものとする。 |
|
- なお、経過措置として、附則が規定されています。当面はCD-ROMを提出することになりそうです。
| ★2016年7月15日 個人情報保護委員会規則(案) |
附則第二条
| 法第二十三条第二項の規定による届出は、第七条第二項の規定にかかわらず、同項第一号の規定により個人情報保護委員会が定めるまでの間は、別記様式第一による届出書及び当該届出書に記載すべき事項を記録した光ディスク等を提出して行うものとする。 |
| 2 |
代理人によって前項の規定による届出を行う場合には、前項の届出書に別記様式第二によるその権限を証する書面を添付しなければならない。 |
|
|
第24条(外国にある第三者への提供の制限) (新設)
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。 |
|
|
- 第24条は新設規定です。未施行のため、条項番号をアラビア数字で表示しています。
- “我が国と同等”の判断基準として、個人情報保護委員会規則が公開されましたが、まだまだ具体的ではありません。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十一条 (個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
| 法第二十四条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。 |
| |
一 |
個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること。 |
| |
二 |
個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。 |
|
- “法第四章第一節の規定の趣旨”とは、個人情報取扱事業者の義務(第十五条-第三十五条)全体のことであり、個人情報の取扱いに係る国際的な枠組みに基づく認定とは、プライバシーマークのような認定制度のことと読み取れます。
- しかし、“国際的な枠組みに基づく認定”について、具体的に示されない限り、実用とならない可能性があります。この規則のままであれば、外国への第三者提供は、“本人の同意を得なければならない。”として、オプトアウトは認められないことになります。
- 「EU一般データ保護規則」 (GDPR:General Data Protection Regulation)が適用になるのは、日本企業が、EU域内にいる消費者に対してWebサービスを提供したり、消費行動を分析(プロファイリング)するような業務を行う場合、規則の適用を受ける可能性があります。
- 2011年4月、ソニー・コンピュータエンタテインメントのプレイステーションネットワークから大量の個人情報が流出した事件で、英国のプライバシー保護監督機関であるICO(Information Commissioner's Office)は2013年1月に25万ポンド(2016/9月レートで3472万円)の支払いを命じました。
- 最新の欧州データ保護規則案では、企業への制裁金は通常の違反で1000万ユーロもしくは年間の世界売上高の2%、重大な違反では2000万ユーロ(同32億円)もしくは年間世界売上高の4%のいずれか高い方が課される。としています。
|
第25条(第三者提供に係る記録の作成等) (新設)
個人情報取扱事業者は、個人データを第三者(第2条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。 |
| 2 |
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。 |
|
|
- 第2条第五項各号に掲げる者とは、国の機関、地方公共団体、独立行政法人等を指します。つまり公的に提出する書類については、記録不要となります。
- 但し書きに該当せずに第三者提供する場合、個人情報保護委員会規則に従い、提供した都度、もしくは反復して提供する場合は一括して、記録(文書、電磁的記録、マイクロフィルム)を作成し、保管することになります。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十二条 (第三者提供に係る記録の作成)
| 法第25条第一項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。 |
| 2 |
法第25条第一項の記録は、個人データを第三者(同項に規定する第三者をいう。以下この条、次条 及び第十五条から第十七条までにおいて同じ。)に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(法第二十三条第二項の規定による 提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。 |
| 3 |
前項の規定にかかわらず、法第二十三条第一項又は法第24条の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって 法第25条第一項の当該事項に関する記録に代えることができる。 |
|
- 取り扱いについて契約が交わされている場合は、記録に代えることができるとされました。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十三条 (第三者提供に係る記録事項)
| 法第25条第一項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。 |
| |
一 |
法第二十三条第二項の規定により個人データを第三者に提供した場合次のイからニまでに掲げる事項 |
| |
|
イ |
当該個人データを提供した年月日 |
| |
|
ロ |
当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対 して提供したときは、その旨) |
| |
|
ハ |
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 |
| |
|
ニ |
当該個人データの項目 |
| |
二 |
法第二十三条第一項又は法第24条の規定により個人データを第三者に提供した場合次のイ及び ロに掲げる事項 |
| |
|
イ |
法第二十三条第一項又は法第24条の本人の同意を得ている旨 |
| |
|
ロ |
前号ロからニまでに掲げる事項 |
| 2 |
前項各号に定める事項のうち、既に前条に規定する方法により作成した法第25条第一項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、法第25条第一項の当該事項の記録を省略することができる。 |
|
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十四条(第三者提供に係る記録の保存期間)
| 法第二十五条第二項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に 応じて、それぞれ当該各号に定める期間とする。 |
| |
一 |
第十二条第三項に規定する方法により記録を作成した場合最後に当該記録に係る個人データの提供を行った日から起算して一年を経過する日までの間 |
| |
二 |
第十二条第二項ただし書に規定する方法により記録を作成した場合最後に当該記録に係る個人データの提供を行った日から起算して三年を経過する日までの間 |
| |
三 |
前二号以外の場合三年 |
|
- 記録の保存期間については、明確にされました。
- 第十二条第三項とは、契約書その他の書面に次条第一項各号に定める事項の記載のことですが、保存期間は特別に1年間とされ、それ以外の場合は三年間です。
|
第26条(第三者提供を受ける際の確認等) (新設)
| 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。 |
| 一 |
当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名 |
| 二 |
当該第三者による当該個人データの取得の経緯 |
| 2 |
前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。 |
| 3 |
個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 |
| 4 |
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。 |
|
- 第26条は、第十七条(適正な取得)と関連しています。つまり、不正な手段で取得した個人情報でないことを確認することが目的です。
- 現行の経済産業省GLでは、下記のように記載されています。新法はそれより一歩進んだ措置を求めています。
- 第三者から個人情報を取得する場合には、提供元の法の遵守状況(略)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、その都度、例えば、取得の経緯を示す契約書等の書面を点検する等により、当該個人情報の取得方法等を確認したうえで、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。
- 第26条が施行された後は、第三者から提供を受ける場合、トレーサビリティの確保のため、個人情報保護委員会規則で定められる事項の記録を作成し、保管することになります。
- 法第26条第2項に違反した場合は、十万円以下の過料に処せられることになります。(新法罰則第88条)
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十五条(第三者提供を受ける際の確認)
| 法第26条第一項の規定による同項第一号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。 |
| 2 |
法第26条第一項の規定による同項第二号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。 |
| 3 |
前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項で規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第26条第一項各号に掲げる事項の内容が同一であることの確認を行う方法とする。 |
|
- プライバシーマークの審査基準の一つである個人情報マネジメントシステム実施のためのガイドライン第二版(ガイドライン)の安全管理措置には「授受記録の確認と保管」が記載されています。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十六条(第三者提供を受ける際の確認に係る記録の作成)
| 法第26条第三項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロ フィルムを用いて作成する方法とする。 |
| 2 |
法第26条第三項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければな らない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第二十三条第二項の規 定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは 反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。 |
| 3 |
前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人 データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第26条第三項の当該事項に関する記録に代えることができる。 |
|
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十七条(第三者提供を受ける際の記録事項)
| 法第26条第三項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。 |
| |
一 |
個人情報取扱事業者が法第二十三条第二項の規定により個人データの提供を受けた場合次のイから ホまでに掲げる事項 |
| |
|
イ |
個人データの提供を受けた年月日 |
| |
|
ロ |
法第26条第一項各号に掲げる事項 |
| |
|
ハ |
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 |
| |
|
ニ |
当該個人データの項目 |
| |
|
ホ |
法第二十三条第四項の規定により公表されている旨 |
| |
二 |
個人情報取扱事業者が法第二十三条第一項又は法第24条の規定による個人データの提供を受けた場合次のイ及びロに掲げる事項 |
| |
|
イ |
法第二十三条第一項又は法第24条の本人の同意を得ている旨 |
| |
|
ロ |
前号ロからニまでに掲げる事項 |
| |
三 |
第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合第一号ロからニまでに掲げる事項 |
| 2 |
前項各号に定める事項のうち、既に前条に規定する方法により作成した法第26条第三項の記録(当該 記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、 法第26条第三項の当該事項の記録を省略することができる。 |
|
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十八条(第三者提供を受ける際の記録の保存期間)
| 法第26条第四項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。 |
| |
一 |
第十六条第三項に規定する方法により記録を作成した場合最後に当該記録に係る個人データの提供を受けた日から起算して一年を経過する日までの間 |
| |
二 |
第十六条第二項ただし書に規定する方法により記録を作成した場合最後に当該記録に係る個人デー タの提供を受けた日から起算して三年を経過する日までの間 |
| |
三 |
前二号以外の場合三年 |
|
|
| |
|
|
SAAJ「PMSハンドブック」ご紹介サイト:http://www.saaj.or.jp/shibu/kojin.html
認定NPO法人 日本システム監査人協会 個人情報保護監査研究会
|