個人情報保護法:確認義務と記録義務の整理
はじめに
はじめまして、私はスタートアップでデータプロダクトのプロダクトマネージャーを担当しているものです。個人情報保護法の確認義務と記録義務について調べる機会があったので、あらためて整理します。
この記事では、わかりやすく理解できることを目指して解説します。データエンジニアからビジネスオーナーまで、個人情報に関わる人に役立つ情報を目指します。
想定読者
データエンジニアやデータサイエンティスト
個人情報を取り扱う企業や組織の担当者
プライバシーに関心がある一般のインターネットユーザー
法律や規制に関心がある方
本記事でわかること
確認義務と記録義務の定義
法的背景
実務への適用
注意事項・免責
本記事は文末の参考文献を元に整理したものです。詳細はそちらをご確認ください。
掲載している内容は個人の見解であり、所属する組織を代表するものではありません。
掲載されている内容は、可能な限り正確な情報を記載するように努めておりますが、100%を保証するものではありません。誤りが混在する場合や最新の情報ではない可能性があります。
情報の最新性や正確性を考え、予告なしで情報の更新や削除を行うこともあります。
本記事の利用や、参考は、ご自身のご判断と責任においてご利用頂ますようお願い致します。掲載した内容により何らかのトラブル・不利益・損害・損失等が発生しても一切の責任は負いかねます。
まとめ
確認・記録義務は、名簿業者による違法に入手された個人データが社会に流通している背景から設けられた。
確認義務と記録義務のイメージは下記の通り
確認義務
受領時に提供者に対して確認しなければならない。
確認内容は下記の通り
氏名または名称。法人の場合は、代表者の氏名、住所
取得経緯
記録義務
媒体は、ストレージなど
記録のタイミングは、都度・一括がある
記録事項
提供の場合は、本人またはオプトアウトによって変わる
受領の場合は、本人またはオプトアウト、私人によって変わる
確認・記録義務の法的背景
平成 26 年に発生した民間企業における大規模漏えい事案を契機として、いわゆる名簿業者を介在し、違法に入手された個人データが社会に流通している実態が社会に認識された。これを受けて、平成 27 年改正法により、法に、個人データの適正な第三者提供を確保するための規定が設けられた。
民間企業で漏洩事案が発生し、名簿業者による違法に入手された個人データが社会に流通している実態が社会認識されたため。
平成27年の改正法により、個人データの適正な第三者提供を確保する既定が設けられた。
個人情報取扱事業者が第三者から個人データの提供を受ける場合には、違法に入手された個人データが流通することを抑止するため、当該第三者が当該個人データを取得した経緯等を確認する義務を課している
受領者の義務
なぜ(目的):違法に入手された個人データが流通することを抑止するため
誰が:受領者
いつ:第三者から個人データの提供を受ける場合
実施内容:当該第三者が当該個人データを取得した経緯等を確認する義務がある。
確認と記録内容:提供者の氏名、取得経緯等。提供を受けた年月日・確認にかかる事項等を記録
記録の保存期間:一定期間
提供者の義務
上記の受領者と相違がある点だけ記載します。
誰が:提供者
いつ:提供したタイミング
実施内容:提供したタイミングで、下記の内容を記録する
記録内容;提供年月日と、受領者の氏名等を記録
確認・記録義務の適用対象
確認・記録の義務について適用有無を整理します。
確認・記録の義務が適用されない場合
次の(1)から(7)までに掲げる第三者提供については、個人データが転々流通することは想定されにくいことに鑑み、確認・記録義務は適用されない。
また、外国にある第三者に対して個人データを提供する際も、次の(1)から(7)までに掲げる第三者提供については、記録義務は適用されない(法第28条第1項、【外国にある第三者に個人データを提供する場合の確認・記録義務の適用】参照)。
なお、(1)から(7)までの詳細については、通則ガイドライン「3-6-1 第三者提供の制限の原則」を参照のこと。
(1)法令に基づく場合(法第27条第1項第1号関係)
(2)人(法人を含む。)の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第27条第1項第2号関係)
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第27条第1項第3号関係)
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第27条第1項第4号関係)
(5)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第27条第1項第5号関係)
(6)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)(法第27条第1項第6号関係)
(7)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第27条第1項第7号関係)
上記の(1)から(7)については記録義務は不要としている
また、上記(1)から(7)については外国にある第三者に対しても記録義務は適用されない。
第三者提供に該当しない場合
次の(1)から(3)までに掲げる第三者提供については、法第27条第5項柱書において「第三者に該当しないものとする」とされていることに鑑み、確認・記録義務は適用されない。
他方、外国にある第三者に対して、次の(1)から(3)までの類型により、個人データを提供する際の記録義務の適用関係は、【外国にある第三者に個人データを提供する場合の記録義務の適用】のとおりとなる。
なお、(1)から(3)までの詳細については、通則ガイドライン「3-6-3 第三者に該当しない場合」を参照のこと。
(1)個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第27条第5項第1号関係)
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合(法第27条第5項第2号関係)
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(法第27条第5項第3号関係)
第三者に該当しないケースは、下記のとおりです。
委託により、個人データの取り扱いについて提供している場合
合併等により事業の承継に伴い、個人データを提供している場合
共同利用している場合
外国にある第三者に個人データを提供する場合の記録義務の適用
【外国にある第三者に個人データを提供する場合の記録義務の適用】
外国にある第三者に対する個人データの提供は、次の類型ⅠからⅣまでに分けられる。各類型と記録義務の適用関係は次の<適用表>のとおりとなる。
類型Ⅰ:本人の「同意」(法第28条第1項)を得ている場合
類型Ⅱ:当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定められた国にある場合
類型Ⅲ:当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
類型Ⅳ:「2-1-1 法第27条第1項各号に掲げる場合」に該当する場合
外国にある第三者に対して、記録義務が適用される場合は下記のとおりです。
本人の同意を得ている
第三者が、日本と同水準にあると認められる個人情報保護法制度を有している国として定められている場合。かつ、下記に該当しない場合。
委託により、個人データの取り扱いについて提供している場合
合併等により事業の承継に伴い、個人データを提供している場合
共同利用している場合
外国にある第三者に対して、記録義務が適用されない場合は下記のとおりです。
第三者が、個人情報取り扱い事業者が講ずべき措置を継続的に行える体制。かつ、下記に該当する場合。
委託により、個人データの取り扱いについて提供している場合
合併等により事業の承継に伴い、個人データを提供している場合
共同利用している場合
上記の「確認・記録の義務が適用されない場合」の(1)から(7)に該当する場合
国の機関や地方自体等の適用
本人又は個人情報取扱事業者以外の者である「第三者」のうち、次の(1)から(4)までに掲げる者との間で個人データの授受を行う場合は、確認・記録義務は適用されない。以下、本ガイドラインにおいて「第三者」というときは、基本的に、次の(1)から(4)までに掲げる者を除くものとする。
(1)国の機関(法第16条第2項第1号関係)
(2)地方公共団体(法第16条第2項第2号関係)
(3)独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表第1に掲げる法人(法別表第2に掲げる法人を除く。)をいう。同法第 21 条第 1 号に掲げる業務を主たる目的とするもの又は同条第 2 号若しくは第 3 号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)(法第16条第2項第3号関係)
(4)地方独立行政法人(地方独立行政法人法(平成 15 年法律第 118号)第 2 条第 1 項に規定する地方独立行政法人をいう。同法第 21 条第 1 号に掲げる業務を主たる目的とするもの又は同条第 2 号若しくは第 3 号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)(法第 16 条第 2 項第 4 号関係)
下記の間で個人データを授受する場合は、確認・記録義務は適用されない。
国の機関
地方公共団体
独立行政法人
地方独立行政法人
確認義務
3-1 確認方法(法第30条第1項、規則第22条関係)
個人情報取扱事業者は、第三者から個人データの提供を受ける際は、当該第三者に対して、次のとおり確認を行わなければならない。この際、当該第三者は当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない(法第30条第2項。同項に違反した場合には法第180条により10万円以下の過料)。
第三者から個人データの提供を受ける際には、当該第三者に対して確認を行わなければならない。
下記に確認内容を記載する。
第三者の氏名、住所、法人の場合は、その代表者の氏名
法第30条(第1項)
1 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
規則第22条(第1項)
1 法第30条第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
確認内容は下記の通り
氏名または名称。法人の場合は、代表者の氏名
住所
【第三者から申告を受ける方法に該当する事例】
事例1)口頭で申告を受ける方法
事例2)所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法
事例3)本人確認書類の写しの送付を受け入れる方法
【その他の適切な方法に該当する事例】
事例1)登記されている事項を確認する方法(受領者が自ら登記事項証明書・登記情報提供サービスで当該第三者の名称・住所・代表者の氏名を確認する方法)
事例2)法人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第15項に規定する法人番号をいう。)の提示を受けて、当該法人の名称、住所を確認する方法
事例3)当該第三者が自社のホームページなどで名称、住所、代表者の氏名を公開している場合において、その内容を確認する方法
事例4)信頼性のおける民間のデータ業者のデータベースを確認する方法
事例5)上場会社等の有価証券報告書等を確認する方法
第三者から申告を受ける方法
口頭
所定の申込書類等
本人確認書類の写し
上記以外
登記されている事項
法人番号
当該第三者のWebページなど
信頼できる民間のデータ業者のDB
上場会社等の有価証券報告書等
第三者による個人データの取得の経緯
個人情報取扱事業者は、第三者から個人データの提供を受ける際は、当該第三者による当該個人データの「取得の経緯」を確認しなければならない。
「取得の経緯」を確認する趣旨としては、提供を受けようとする個人データが適法に入手されたものではないと疑われる場合に、当該個人データの利用・流通を未然に防止する点にある。
仮に、適法に入手されたものではないと疑われるにもかかわらず、あえて個人データの提供を受けた場合には、法第20条第1項の規定違反と判断される可能性がある。
「取得の経緯」の具体的な内容は、個人データの内容、第三者提供の態様などにより異なり得るが、基本的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければならない。
なお、あくまで、個人データを提供した「第三者」による取得の経緯を確認すれば足り、そこから遡って当該「第三者」より前に取得した者の取得の経緯を確認する義務はない。
【適切な方法に該当する事例】
事例1)提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法
事例2)提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
事例3)提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法
事例4)提供者が本人の同意を得ていることを誓約する書面を受け入れる方法
事例5)提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法
事例6)本人による同意書面を確認する方法
提供を受ける際に、取得の経緯を確認する必要がある。
提供を受けようとする個人データが適法に入手されたものではないと疑われる場合に、当該個人データの利用・流通を未然に防止するのが目的
適法に入手されたものではないと疑われるにもかかわらず、提供を受けた場合、規定違反になる可能性がある。
取得の経緯で確認する具体的な内容は、下記のとおりである。
取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)
取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)
取得の経緯の確認では、遡って当該「第三者」より前に取得した者の取得の経緯を確認する義務はない。
適切な方法に該当する事例
個人データを買い取っている場合は、売買契約書
本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
提供者と受領者間の契約書面を確認する方法
本人の同意を得ていることを誓約する書面を受け入れる方法
提供者のWebページに公表されている利用目的、規約等の中に、取得の経緯が記載されている
本人による同意書面
記録義務
法第29条(第1項)
1 個人情報取扱事業者は、個人データを第三者(略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。(略)
法第30条(第3項)
3 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
第三者に提供した場合、下記の記録が必要
当該個人データを提供した年月日
当該第三者の氏名または名称、その他事項
第三者から受領した場合、下記の記録が必要
当該個人データを受けた年月日
当該確認に係る事項、その他事項
記録する媒体
規則第19条(第1項)
法第29条第1項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
規則第23条(第1項)
法第30条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
===
個人情報取扱事業者は、記録を、文書、電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。以下同じ。法第2条第1項第1号参照)又はマイクロフィルムを用いて作成しなければならない。
文章、ストレージ、マイクロフィルム。。などに保存。
記録のタイミング
都度記録する
規則第19条(第2項)
法第29条第1項の記録は、個人データを第三者(略)に提供した都度、速やかに作成しなければならない。(略)
規則第23条(第2項)
法第30条第3項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。(略)
===
個人情報取扱事業者は、原則として、個人データの授受の都度、速やかに、記録を作成しなければならない。
なお、個人データを授受する前に記録を作成することもできる。
本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできる。
オプトアウトによる第三者提供については、「4-1-2-2 一括して記録を作成する方法」、「4-1-2-3 契約書等の代替手段による方法」は適用されないため、常に上述の原則に従い記録を作成しなければならない。
原則、授受の都度、速やかに作成しなければならない
授受前に記録することも可能
複数の記録を一体として作成も可能
オプトアウトは、常に上記の原則に従う必要がある
一括して作成する
規則第19条(第2項)
(略)当該第三者に対し個人データを継続的に若しくは反復して提供(法第27条第2項の規定による提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
規則第23条(第2項)
(略)当該第三者から継続的に若しくは反復して個人データの提供(法第27条第2項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
===
一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。
なお、オプトアウトによる第三者提供については対象外である。
本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできる。
なお、複数の本人の記録を一体として記録を作成する場合において、継続的に又は反復して個人データを授受する対象期間内に、データ群を構成する本人が途中で変動するときも、一括して記録を作成することもできる。
【一括して記録を作成する方法に該当する事例】
事例1)最初の授受の際に一旦記録を作成した上で、継続的に又は反復して個人データを授受する対象期間内に、随時、追加の記録事項を作成する方法
事例2)継続的に又は反復して個人データを授受提供する対象期間内に、月ごとに記録を作成する方法
事例3)継続的に又は反復して個人データを授受提供する対象期間の終了後、速やかに記録を作成する方法
「確実であると見込まれるとき」の例としては、継続的に又は反復して個人データを授受することを内容とする基本契約を締結することで、以後、継続的に又は反復して個人データを提供することが確実であると見込まれる場合などが該当する。この場合は、当該基本契約に係る契約書をもって記録とすることができる。
「一括して記録を作成する方法」は、例外としての記録作成方法であることに鑑みて、その対象期間、対象範囲等を明確にすることが望ましい。
継続・反復して授受する場合に、一括して作成できる。
オプトアウトは、対象外
複数の記録を一体として作成も可能
提供者の記録事項
オプトアウトと本人同意の第三者提供による記録事項の違いは下記のとおりです。
受領者の記録事項
オプトアウトと本人同意、私人などからの第三者提供による記録事項の違いは下記のとおりです。
保存期間
参考
この記事が気に入ったらサポートをしてみませんか?