今回は、個人情報保護法を勉強しようということで、個人データに関して課せられる義務のうち第三者提供に係る記録義務等について見てみたいと思います。
個人データの流通経路に関する追跡可能性(トレーサビリティ)の確保がその趣旨とされており、第三者提供の提供元(提供する側)の義務と、提供先(受領する側)の義務があります。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
第三者提供に係る記録の作成等(法29条)
これは、第三者提供の提供元(提供する側)の義務になります。
個人情報取扱事業者は、個人データを第三者に提供したときは、提供記録を作成し、保存しなければなりません(提供記録の作成・保存義務)。
ただし、第三者提供につきそもそも本人の同意が不要とされている場合のうち、法27条1項各号(=適用除外事由)の場合と、第三者に該当しない場合には、提供記録の作成義務はないとされています(※外国にある第三者への提供の場合は前者の場合のみ)。
本人の同意を得なくても第三者に提供できる場合として、①法27条1項各号(適用除外事由)による場合、②オプトアウトによる場合、③第三者に該当しない場合の3つがあります。
このうち、①と③の場合、提供記録の作成もしなくてよいということです(※外国にある第三者に提供する場合は①のみ)。
条文も確認してみます。
(第三者提供に係る記録の作成等)
第二十九条 個人情報取扱事業者は、個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条及び次条(第三十一条第三項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
提供記録の作成方法(施行規則19条)
提供記録の作成方法は、規則19条に定められており、文書、電磁的記録またはマイクロフィルムを用いて記録することとされています。
提供の都度作成するのが原則ですが、第三者に対して個人データを継続的にあるいは反復的に提供する場合の記録は、一括して作成することが認められています(一括作成)。
(第三者提供に係る記録の作成)
第十九条 法第二十九条第一項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
2 法第二十九条第一項の記録は、個人データを第三者(同項に規定する第三者をいう。以下この条、次条、第二十二条から第二十四条まで、第二十七条及び第二十八条において同じ。)に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(法第二十七条第二項の規定による提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
また、提供に関して作成された契約書等に記録事項が記載されているときは、その記録事項についてはその契約書等をもって提供記録に代えることができる、とされています(契約書等による代替手段)。
3 前項の規定にかかわらず、法第二十七条第一項又は法第二十八条第一項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第二十九条第一項の当該事項に関する記録に代えることができる。
提供記録の記録事項(施行規則20条)
提供記録の記録事項は、規則20条に定められており、
- 提供先の氏名又は名称及び住所等(不特定多数に提供したときはその旨)
- 本人の氏名など本人を特定するに足りる事項
- 個人データの項目
+
- オプトアウトによる場合は、個人データを提供した年月日
- 本人の同意による場合は、本人の同意を得ている旨
となっています。
▽施行規則20条(※【 】は管理人注)
(第三者提供に係る記録事項)
第二十条 法第二十九条第一項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
一 法第二十七条第二項の規定により個人データを第三者に提供した場合【=オプトアウトによる場合】 次のイからニまでに掲げる事項
イ 当該個人データを提供した年月日
ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第二十八条第一項第三号において同じ。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
二 法第二十七条第一項又は法第二十八条第一項の規定により個人データを第三者に提供した場合【=本人の同意による場合】 次のイ及びロに掲げる事項
イ 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項
2 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第二十九条第一項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
表にしてみると、以下のようになります。
| 提供記録の記録事項 | オプトアウトによる場合(1号) | 本人の同意による場合(2号) |
|---|---|---|
| 個人データを提供した年月日 | 〇 | |
| 第三者の氏名又は名称及び住所など第三者を特定するに足りる事項(不特定多数に提供したときはその旨) | 〇 | 〇 |
| 本人の氏名など本人を特定するに足りる事項 | 〇 | 〇 |
| 個人データの項目 | 〇 | 〇 |
| 本人の同意を得ている旨 | 〇 |
提供記録の保存期間(施行規則21条)
提供記録の保存期間は、規則21条に定められており、原則として3年となっています(3号)。
保存義務の始期は、提供記録の作成日からなので(法29条2項)、保存義務の終期は、原則としてそこから3年ということです。
ただし、保存義務の終期については、一括作成の場合は最終提供日から3年、契約書等による代替手段の場合は最終提供日から1年、とされています。
表にしてみると、以下のようになります。
| 作成方法 | 保存義務の始期 | 保存義務の終期 |
|---|---|---|
| 原則 | 提供記録の作成日 (法29条2項) | 提供記録の作成日から3年 (規則21条3号) |
| 一括作成の場合 | 最終提供日から3年 (2号) | |
| 契約書等による代替手段の場合 | 最終提供日から1年 (1号) |
▽施行規則21条(※【 】は管理人注)
(第三者提供に係る記録の保存期間)
第二十一条 法第二十九条第二項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
一 第十九条第三項に規定する方法【=契約書等による代替手段】により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して一年を経過する日までの間
二 第十九条第二項ただし書に規定する方法【=一括作成】により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して三年を経過する日までの間
三 前二号以外の場合 三年
第三者提供を受ける際の確認・記録の作成等(法30条)
これは、第三者提供の提供先(受領する側)の義務です。確認義務と記録義務の2つがあります。
確認義務(1項)
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、提供元の氏名・名称や取得経緯に関する確認を行わなければなりません(確認義務)。
確認の際、提供元がそれらの確認事項を偽ることは禁じられています(2項)。
(第三者提供を受ける際の確認等)
第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一~二 (略)
2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
また、提供記録の場合と同様に、第三者提供につきそもそも本人の同意が不要とされている場合のうち、法27条1項各号(=適用除外事由)の場合と、第三者に該当しない場合には、確認義務はないとされています(※外国にある第三者への提供の場合は前者の場合のみ)。
本人の同意を得なくても第三者に提供できる場合として、①法27条1項各号(適用除外事由)による場合、②オプトアウトによる場合、③第三者に該当しない場合の3つがあります。
このうち、①と③の場合、確認も確認記録の作成もしなくてよいということです(※外国にある第三者に提供する場合は①のみ)。
確認事項(1号・2号)
確認事項は2つあり、
- 提供元の氏名又は名称及び住所等(1号)
- 提供元における個人データ取得の経緯(2号)
とされています。
「取得の経緯」を確認する趣旨は、提供を受けようとする個人データが適法に入手されたものではないと疑われる場合に、その個人データの利用・流通を未然に防止する点にあるとされています。
具体的内容としては、以下のように、取得先の別や、取得行為の態様などが挙げられています。
▽確認・記録ガイドライン3-1-2
「取得の経緯」の具体的な内容は、個人データの内容、第三者提供の態様などにより異なり得るが、基本的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければならない。
なお、あくまで、個人データを提供した「第三者」による取得の経緯を確認すれば足り、そこから遡って当該「第三者」より前に取得した者の取得の経緯を確認する義務はない。
条文も確認してみます(1号・2号)。
▽法30条1項
(第三者提供を受ける際の確認等)
第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。…(略)…
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
確認方法(施行規則22条)
確認方法は、規則22条に定められており、
- 提供元の氏名又は名称及び住所等の確認方法
→適切な方法(例えば、提供元から申告を受ける方法) - 提供元における個人データ取得の経緯の確認方法
→適切な方法(例えば、提供元から取得の経緯を示す契約書その他の書面の提示を受ける方法)
によらなければならないとされています。
(第三者提供を受ける際の確認)
第二十二条 法第三十条第一項の規定による同項第一号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
2 法第三十条第一項の規定による同項第二号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
「適切な方法」の具体例としては、以下のようなものが挙げられています(確認・記録ガイドライン3-1-2)。
| 確認事項 | 例示されている方法の具体例 | その他の適切な方法の具体例 |
|---|---|---|
| ①提供元の氏名又は名称及び住所等 | 【申告を受ける方法】 〇口頭で申告を受ける方法 〇所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法 〇本人確認書類の写しの送付を受け入れる方法 | 〇登記されている事項を確認する方法(受領者が自ら登記事項証明書・登記情報提供サービスで当該第三者の名称・住所・代表者の氏名を確認する方法) 〇法人番号の提示を受けて、当該法人の名称、住所を確認する方法 〇提供元が自社のホームページなどで名称、住所、代表者の氏名を公開している場合において、その内容を確認する方法 〇信頼性のおける民間のデータ業者のデータベースを確認する方法 〇上場会社等の有価証券報告書等を確認する方法 |
| ②提供元における個人データ取得の経緯 | 【契約書等の書面の提示を受ける方法】 〇提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法 〇提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法 〇提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法 | 〇提供者が本人の同意を得ていることを誓約する書面を受け入れる方法 〇提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法 〇本人による同意書面を確認する方法 |
ただし、既に確認を行った提供元に対する確認方法としては、確認・記録済みの事項と内容が同一であることの確認を行えば足ります(確認・記録済み事項に関する確認の省略)。
複数回にわたって同一本人の個人データの授受をする場合において、同一の内容である事項を重複して確認する合理性はないためです(確認・記録ガイドライン3-2)。
3 前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第三十条第一項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
確認記録の作成・保存義務(3項・4項)
個人情報取扱事業者は、確認を行ったら、その記録を作成・保存しなければなりません(確認記録の作成・保存義務)。
▽法30条3項・4項
3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
確認記録の作成方法(施行規則23条)
確認記録の作成方法は、規則23条に定められており、文書、電磁的記録またはマイクロフィルムを用いて記録することとされています。
受領の都度作成するのが原則ですが、提供元から個人データを継続的にあるいは反復的に受領する場合の記録は、一括して作成することが認められています(一括作成)。
(第三者提供を受ける際の確認に係る記録の作成)
第二十三条 法第三十条第三項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
2 法第三十条第三項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第二十七条第二項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
また、提供に関して作成された契約書等に記録事項が記載されているときは、その記録事項についてはその契約書等をもって確認記録に代えることができる、とされています(契約書等による代替手段)。
3 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第三十条第三項の当該事項に関する記録に代えることができる。
確認記録の記録事項(施行規則24条)
確認記録の記録事項は、規則24条に定められており、
- 提供元の氏名又は名称及び住所等(←確認事項の1つめ)
- 提供元における個人データ取得の経緯(←確認事項の2つめ)
- 本人の氏名など本人を特定するに足りる事項
- 個人データの項目
+
- オプトアウトによる場合は、個人データを受領した年月日、個人情報保護委員会において公表されている旨
- 本人の同意による場合は、本人の同意を得ている旨
となっています。
▽施行規則24条(※【 】は管理人注)
(第三者提供を受ける際の記録事項)
第二十四条 法第三十条第三項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
一 個人情報取扱事業者から法第二十七条第二項の規定による個人データの提供を受けた場合【=オプトアウトによる場合】 次のイからホまでに掲げる事項
イ 個人データの提供を受けた年月日
ロ 法第三十条第一項各号に掲げる事項【=確認事項2つ】
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
ホ 法第二十七条第四項の規定により公表されている旨
二 個人情報取扱事業者から法第二十七条第一項又は法第二十八条第一項の規定による個人データの提供を受けた場合【=本人の同意による場合】 次のイ及びロに掲げる事項
イ 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項
三 (略)
四 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合【=私人などから受領する場合】 第一号ロからニまでに掲げる事項
2 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第三十条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
表にしてみると、以下のようになります。
| 確認記録の記録事項 | オプトアウトによる場合 | 本人の同意による場合 | 私人などから受領する場合 |
|---|---|---|---|
| 個人データを受領した年月日 | 〇 | ||
| 個人情報保護委員会において公表されている旨 | 〇 | ||
| 提供元の氏名又は名称及び住所など提供元を特定するに足りる事項 | 〇 | 〇 | 〇 |
| 提供元における個人データ取得の経緯 | 〇 | 〇 | 〇 |
| 本人の氏名など本人を特定するに足りる事項 | 〇 | 〇 | 〇 |
| 個人データの項目 | 〇 | 〇 | 〇 |
| 本人の同意を得ている旨 | 〇 |
確認記録の保存期間(施行規則25条)
確認記録の保存期間は、規則25条に定められており、原則として3年です(3号)。
保存義務の始期は、確認記録の作成日からなので(法30条4項)、保存義務の終期は、原則としてそこから3年ということになります。
ただし、保存義務の終期については、一括作成の場合は最終受領日から3年、契約書等による代替手段の場合は最終受領日から1年、とされています。
表にしてみると、以下のようになります。
| 作成方法 | 保存義務の始期 | 保存義務の終期 |
|---|---|---|
| 原則 | 確認記録の作成日 (法30条4項) | 確認記録の作成日から3年 (規則25条3号) |
| 一括作成の場合 | 最終受領日から3年 (2号) | |
| 契約書等による代替手段の場合 | 最終受領日から1年 (1号) |
▽施行規則25条(※【 】は管理人注)
(第三者提供を受ける際の記録の保存期間)
第二十五条 法第三十条第四項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
一 第二十三条第三項に規定する方法【=契約書等による代替手段】により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して一年を経過する日までの間
二 第二十三条第二項ただし書に規定する方法【=一括作成】により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して三年を経過する日までの間
三 前二号以外の場合 三年
結び
今回は、個人情報保護法を勉強しようということで、個人データに関する義務のうち第三者提供に係る記録義務等について見てみました。
本記事の分野については、プロパーのガイドラインとして、確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)があります。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
主要法令等・参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています