はじめに
はじめまして、私はスタートアップでデータプロダクトのプロダクトマネージャーを担当しているものです。個人情報保護法の確認義務と記録義務について調べる機会があったので、あらためて整理します。
この記事では、わかりやすく理解できることを目指して解説します。データエンジニアからビジネスオーナーまで、個人情報に関わる人に役立つ情報を目指します。
想定読者
本記事でわかること
注意事項・免責
本記事は文末の参考文献を元に整理したものです。詳細はそちらをご確認ください。
掲載している内容は個人の見解であり、所属する組織を代表するものではありません。
掲載されている内容は、可能な限り正確な情報を記載するように努めておりますが、100%を保証するものではありません。誤りが混在する場合や最新の情報ではない可能性があります。
情報の最新性や正確性を考え、予告なしで情報の更新や削除を行うこともあります。
本記事の利用や、参考は、ご自身のご判断と責任においてご利用頂ますようお願い致します。掲載した内容により何らかのトラブル・不利益・損害・損失等が発生しても一切の責任は負いかねます。
まとめ
確認義務
受領時に提供者に対して確認しなければならない。
確認内容は下記の通り
氏名または名称。法人の場合は、代表者の氏名、住所
取得経緯
記録義務
媒体は、ストレージなど
記録のタイミングは、都度・一括がある
記録事項
確認・記録義務の法的背景
受領者の義務
なぜ(目的):違法に入手された個人データが流通することを抑止するため
誰が:受領者
いつ:第三者から個人データの提供を受ける場合
実施内容:当該第三者が当該個人データを取得した経緯等を確認する義務がある。
確認と記録内容:提供者の氏名、取得経緯等。提供を受けた年月日・確認にかかる事項等を記録
記録の保存期間:一定期間
提供者の義務
上記の受領者と相違がある点だけ記載します。
確認・記録義務の適用対象
確認・記録の義務について適用有無を整理します。
確認・記録の義務が適用されない場合
第三者提供に該当しない場合
第三者に該当しないケースは、下記のとおりです。
外国にある第三者に個人データを提供する場合の記録義務の適用
外国にある第三者に対して、記録義務が適用される場合は下記のとおりです。
外国にある第三者に対して、記録義務が適用されない場合は下記のとおりです。
国の機関や地方自体等の適用
下記の間で個人データを授受する場合は、確認・記録義務は適用されない。
確認義務
第三者の氏名、住所、法人の場合は、その代表者の氏名
確認内容は下記の通り
第三者から申告を受ける方法
上記以外
登記されている事項
法人番号
当該第三者のWebページなど
信頼できる民間のデータ業者のDB
上場会社等の有価証券報告書等
第三者による個人データの取得の経緯
提供を受ける際に、取得の経緯を確認する必要がある。
提供を受けようとする個人データが適法に入手されたものではないと疑われる場合に、当該個人データの利用・流通を未然に防止するのが目的
取得の経緯で確認する具体的な内容は、下記のとおりである。
取得の経緯の確認では、遡って当該「第三者」より前に取得した者の取得の経緯を確認する義務はない。
適切な方法に該当する事例
個人データを買い取っている場合は、売買契約書
本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
提供者と受領者間の契約書面を確認する方法
本人の同意を得ていることを誓約する書面を受け入れる方法
提供者のWebページに公表されている利用目的、規約等の中に、取得の経緯が記載されている
本人による同意書面
記録義務
第三者に提供した場合、下記の記録が必要
当該個人データを提供した年月日
当該第三者の氏名または名称、その他事項
第三者から受領した場合、下記の記録が必要
当該個人データを受けた年月日
当該確認に係る事項、その他事項
記録する媒体
記録のタイミング
都度記録する
原則、授受の都度、速やかに作成しなければならない
授受前に記録することも可能
複数の記録を一体として作成も可能
オプトアウトは、常に上記の原則に従う必要がある
一括して作成する
提供者の記録事項
オプトアウトと本人同意の第三者提供による記録事項の違いは下記のとおりです。
受領者の記録事項
オプトアウトと本人同意、私人などからの第三者提供による記録事項の違いは下記のとおりです。
保存期間
参考