今回は、個人情報保護法を勉強しようということで、個人関連情報に関する義務について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人関連情報取扱事業者(法16条7項)
個人情報保護法では、個人関連情報を扱う事業者を個人関連情報取扱事業者と呼び、個人関連情報に関して義務が課せられる主体としている。
定義は法16条7項に定められており、個人関連情報データベース等を事業の用に供している者、とされている。
7 この章、第六章及び第七章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十一条第一項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第二項各号に掲げる者を除く。
「個人情報取扱事業者」の定義と建付けは一緒で(▷参考記事はこちら)、データベースを事業のため取り扱っている者、です。
個人関連情報に関する義務は、法31条(個人関連情報の第三者提供の制限等)に定められているが、その中心は、提供先で個人識別性を獲得することが想定される提供行為については、本人の同意が得られているかどうかの確認を要する、というものである。
以下、内容を順に見てみる。
第三者提供の制限(法31条1項)
確認義務(1項)
これは、第三者提供の提供元(提供する側)の義務である。
個人関連情報取扱事業者は、提供先の第三者が、個人データに個人関連情報を付加するなどして、個人データとして利用するために取得することが想定されるときは、本人の同意が得られていること等を確認しないで、それらの個人関連情報を提供してはならない(法31条1項)。
例えば、提供先の第三者が、提供を受けた個人関連情報を、ID 等を介して提供先が保有する他の個人データに付加する場合である(通則ガイドライン3-7-1-1)。
(個人関連情報の第三者提供の制限等)
第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一~二 (略)
個人データとして取得することが「想定される」とは、
- 提供元の個人関連情報取扱事業者において、提供先の第三者が「個人データとして取得する」ことを現に想定している場合
- 一般人の認識(同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識)を基準として、「個人データとして取得する」ことを通常想定できる場合
をいう、とされている(通則ガイドライン3-7-1-2)。
②は、提供元が現に想定していない場合であっても、取引状況等の客観的事情に照らして、一般人の認識を基準にすれば通常想定できる場合も、「想定される」に該当するということである。
もっとも、個人データとして取得するかどうかの一般的な調査義務まで課すものではない。
▽ガイドラインQ&A8-5
提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いを確認した上で、法第31条第1項の適用の有無を判断する必要がありますか。
個人関連情報取扱事業者は、一般に、提供先の第三者における個人関連情報の取扱いを確認する義務を負うものではありません。しかし、提供先の第三者の事業内容、提供先の第三者との取引状況、提供する個人関連情報の項目、提供先の第三者における個人データの利用状況等の客観的事情に照らし、提供先の第三者が個人関連情報を個人データとして利用することが窺われる場合には、提供先の第三者における個人関連情報の取扱いを確認した上で、「個人データとして取得する」ことが想定されるかどうかを判断する必要があります。
確認事項(1号・2号)
確認事項は、1号・2号で定められており、
- 本人の同意が得られていること(1号)
- 外国にある第三者への提供の場合は、上記に加えて、同意取得時の参考情報の提供が行われていること(2項)
とされている。
②は、個人関連情報の提供先が外国にある第三者である場合には、1号に基づき本人の同意が得られていることを確認するにあたって、同意が得られていることに加えて、同意を得ようとする時点において参考情報が本人に提供されていることを確認しなければならない、ということである。
条文も確認してみる(1号・2号)。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
本人の同意が得られていること
本人の同意を取得する主体は、本人と接点を持ち、情報の利用主体となる提供先である。提供元は、個人関連情報によって本人を識別できず、本人の同意を得る主体となり得ないはずだからである。
が、同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元が代行することも認められている(同意取得の代行。通則ガイドライン3-7-2-2)。
同意取得の代行の場合、本人は利用主体である提供先を認識できないことから、提供元において、個人関連情報の提供を受けて個人データとして取得する提供先の第三者を個別に明示し、また、対象となる個人関連情報を特定できるように示さなければならない、とされている(通則ガイドライン3-7-2-2-⑵)。
同意取得の代行がイメージしにくいような気がしますが、提供元としては、個人関連情報の取得時に、本人を識別しないままに、(第三者提供することに加えて、提供先では個人データとして取得されることについての)同意を取得しておく、というやり方が典型的には想定されます。
その際は、提供先の第三者を個別に明示し、また、提供の対象となる個人関連情報の内容を特定できるようにしておけ、ということです。
(外国にある第三者への提供の場合)同意取得時の参考情報の提供が行われていること
提供先が外国にある第三者のときは、本人の同意取得時に参考情報を提供していなければならない(提供元は、それを確認する)。個人データの場合の参考情報の提供(法28条2項)と同様で、規則17条に定めがある。
提供の方法は、電磁的記録の提供による方法、書面の交付による方法などの、適切な方法とされている。
提供すべき情報の内容は、原則として、①外国の名称、②外国の個人情報保護制度に関する情報、③提供先の第三者が講ずる個人情報保護措置に関する情報、である。
▽施行規則17条
(外国にある第三者への提供に係る同意取得時の情報提供)
第十七条 法第二十八条第二項又は法第三十一条第一項第二号の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
2 法第二十八条第二項又は法第三十一条第一項第二号の規定による情報の提供は、次に掲げる事項について行うものとする。
一 当該外国の名称
二 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
三 当該第三者が講ずる個人情報の保護のための措置に関する情報
3~4 (略)
ただし、外国が認定国である場合や、提供先の第三者が基準適合体制整備者である場合は、31条1項2号の「外国にある第三者」から除外されるので、同意取得時の参考情報の提供が行われていることの確認は不要である。
この点に関する条文がどこにあるか一見わかりにくいが、法28条1項の括弧書きである(太字部分を参照)。
(外国にある第三者への提供の制限)
第二十八条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
認定国や基準適合体制整備者が何かについては、個人データを外国にある第三者へ提供する場合の制限(法28条)を参照(▷記事はこちら)
確認方法(施行規則26条)
確認方法は、規則26条に定められており、
- 本人の同意を得ていること(1号)の確認方法
→適切な方法(例えば、提供先から申告を受ける方法) - 外国にある第三者への提供の場合において同意取得時の参考情報の提供を行っていること(2号)の確認方法
→適切な方法(例えば、参考情報の提供が行われていることを示す書面の提示を受ける方法)
によらなければならないとされている(1項・2項)。
ただし、既に確認を行った提供先に対する確認方法としては、確認・記録済みの事項と内容が同一であることの確認を行えば足りる(3項。確認・記録済み事項に関する確認の省略)。
条文も確認してみる。
▽施行規則26条
(個人関連情報の第三者提供を行う際の確認)
第二十六条 法第三十一条第一項の規定による同項第一号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。
2 法第三十一条第一項の規定による同項第二号に掲げる事項の確認を行う方法は、同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。
3 前二項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第三十一条第一項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
相当措置の継続的な実施を確保するために必要な措置の実施(法31条2項)
個人関連情報を基準適合体制整備者に提供した場合、提供元は、提供先が相当措置の継続的な実施を確保するために必要な措置を講じなければならない(法31条2項)。
個人データの場合(法28条3項)と概ね同様の話であるが、個人データの場合、
- 提供先の第三者が相当措置の継続的な実施を確保するために必要な措置
- 本人の求めに応じ、必要な措置に関する本人への情報提供
が義務づけられていたのに対し、個人関連情報の場合、提供元は本人を識別できないため、②はしなくてよいことになっている(以下のように、読み替えにより削られている)。
条文も確認してみる。
▽法31条2項
2 第二十八条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
↓ 法28条3項の準用・読み替え
3 個人関連情報取扱事業者は、個人関連情報を外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し講じなければならない。
必要な措置の内容は、規則18条1項で定められている。
定期的なモニタリング(1号)と、支障が生じたときの適切な措置、継続実施が困難となったときの提供停止(2号)である。これも、個人データの場合と同様である。
(外国にある第三者による相当措置の継続的な実施を確保するために必要な措置等)
第十八条 法第二十八条第三項(法第三十一条第二項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
一 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
二 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第三十一条第二項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。
第三者提供に係る確認記録の作成等(法31条3項)
これは、個人関連情報の提供元(提供する側)の義務である。
提供元の個人関連情報取扱事業者は、法31条1項に定める確認を行ったときは、その記録を作成・保存しなければならない(確認記録の作成・保存義務)。
条文を確認してみる。
ちょっと頭が混乱しそうだが、個人データの第三者提供の場合の受領側の確認・記録義務の規定(法30条)を準用する、という形で構成されている(確認して、記録する、という建付けが同じであるため)。
▽法31条3項(※【 】は管理人注)
3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
↓ 法30条2項~4項の準用・読み替え
2 前項の第三者【=確認を受ける第三者】は、個人関連情報取扱事業者が前項の規定による確認を行う場合において、当該個人関連情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
3 個人関連情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報の提供を受けたを提供した年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4 個人関連情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
確認記録の作成方法(施行規則27条)
確認記録の作成方法は、規則27条に定められており、文書、電磁的記録またはマイクロフィルムを用いて記録することとされている。
受領の都度作成するのが原則であるが、提供元から個人データを継続的にあるいは反復的に受領する場合の記録は、一括して作成することが認められている(一括作成)。
(個人関連情報の第三者提供を行う際の確認に係る記録の作成)
第二十七条 法第三十一条第三項において読み替えて準用する法第三十条第三項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
2 法第三十一条第三項において読み替えて準用する法第三十条第三項の記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
また、提供に関して作成された契約書等に記録事項が記載されているときは、その記録事項についてはその契約書等をもって確認記録に代えることができる(契約書等による代替手段)。
3 前項の規定にかかわらず、法第三十一条第一項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第三十一条第三項において読み替えて準用する法第三十条第三項の当該事項に関する記録に代えることができる。
確認記録の記録事項(施行規則28条)
確認記録の記録事項は、規則28条に定められており、
- 法31条1項1号・2号の確認の実施
- 個人関連情報を提供した年月日
- 提供先の第三者の氏名・名称及び住所など当該第三者を特定するに足りる事項
- 提供した個人関連情報の項目
となっている。
(個人関連情報の第三者提供を行う際の記録事項)
第二十八条 法第三十一条第三項において読み替えて準用する法第三十条第三項の個人情報保護委員会規則で定める事項は、次に掲げる事項とする。
一 法第三十一条第一項第一号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第二号の規定による情報の提供が行われていることを確認した旨
二 個人関連情報を提供した年月日(前条第二項ただし書の規定により、法第三十一条第三項において読み替えて準用する法第三十条第三項の記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)
三 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
四 当該個人関連情報の項目
2 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第三十一条第三項において読み替えて準用する法第三十条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第三十一条第三項において読み替えて準用する法第三十条第三項の当該事項の記録を省略することができる。
確認記録の保存期間(施行規則29条)
確認記録の保存期間は、規則29条に定められており、原則として3年である(3号)。
保存義務の始期は、確認記録の作成日からなので(法31条3項→法30条4項)、保存義務の終期は、原則としてそこから3年ということである。
ただし、保存義務の終期については、一括作成の場合は最終提供日から3年、契約書等による代替手段の場合は最終提供日から1年、とされている。
表にしてみると、以下のようになる。
| 作成方法 | 保存義務の始期 | 保存義務の終期 |
| 原則 | 確認記録の作成日 (法31条3項→法30条4項) | 確認記録の作成日から3年 (規則29条3号) |
| 一括作成の場合 | 最終提供日から3年 (2号) | |
| 契約書等による代替手段の場合 | 最終提供日から1年 (1号) |
条文も確認してみる(※【 】は管理人注)。
(個人関連情報の第三者提供に係る記録の保存期間)
第二十九条 法第三十一条第三項において準用する法第三十条第四項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間とする。
一 第二十七条第三項に規定する方法【=契約書等による代替手段】により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して一年を経過する日までの間
二 第二十七条第二項ただし書に規定する方法【=一括作成】により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して三年を経過する日までの間
三 前二号以外の場合 三年
第三者提供を受ける際の確認・記録の作成等(法30条)
これは、第三者提供の提供先(受領する側)の義務である。
提供先では、個人関連情報を個人データとして受領するわけなので、特別な規定はなく、個人データの第三者提供を受ける場合の確認・記録義務に関する法30条が適用される。
第三者提供を受ける場合の確認・記録義務(法30条)の参考記事はこちら
確認義務に関する差異
もっとも、確認義務の確認事項について、法30条1項では、
- 提供元の氏名又は名称及び住所等(1号)
- 提供元における個人データ取得の経緯(2号)
の2つが定められているが、個人関連情報の場合、②については、提供元において、提供する個人関連情報を個人データとして取得していないことから、提供先における確認の対象とならない、とされている(通則ガイドライン3-7-5-1)。
記録義務に関する差異
また、確認記録の記録事項に関する規則24条1項のうち、3号は、個人関連情報の場合に特有の定めとなっている(※【 】は管理人注)。
(第三者提供を受ける際の記録事項)
第二十四条 法第三十条第三項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
一~二 (略)
三 個人関連情報取扱事業者から法第三十一条第一項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
イ 法第三十一条第一項第一号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第二号の規定による情報の提供が行われている旨
ロ 法第三十条第一項第一号に掲げる事項【=提供元である第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名】
ハ 第一号ハに掲げる事項【=当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項】
ニ 当該個人関連情報の項目
四 (略)
結び
今回は、個人情報保護法を勉強しようということで、個人関連情報に関する義務について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)