(執筆者」渡邉雅之)
改正個人情報保護法ニュース�@:改正の概要とスケジュール
改正個人情報保護法ニュース�A:要配慮個人情報の取得制限と本人確認書類の取得に際しての実務上の影響
改正個人情報保護法ニュース�B:EUのデータ保護指令の要請による改正
改正個人情報保護法ニュース�C:匿名加工情報(ビックデータ)に関する改正
改正個人情報保護法ニュース�D:個人情報の定義の拡充
改正個人情報保護法ニュース�E:利用目的の制限の緩和
改正個人情報保護法ニュース�F:要配慮個人情報と機微情報(センシティブ情報)
今回は、改正個人情報保護法において求められることになる、個人データの第三者提供に係る確認及び記録の作成の義務付けについて説明をします。
改正の背景は、平成26年に発覚した、ベネッセの会員情報の流出です。
平成26年6月27日、ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報(下記項目)を名簿業者3社へ売却したことが発覚しました。
漏えいした情報は以下の情報でした(クレジットカード情報が名簿業者へ売却された事実は一切確認されませんでした。)。
〇サービス登録者の氏名、性別、生年月日
〇同時に登録した保護者または子供の氏名、性別、生年月日、続柄
〇郵便番号
〇住所
〇電話番号
〇FAX番号(登録者)
〇出産予定日(一部のサービス利用者のみ)
〇メールアドレス(一部のサービス利用者のみ)
この事件を受けて、『個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン』 (平成26年12月12日厚生労働省・経済産業省告示第4号)においては、トレーサビリティーの確保を図る規程が設けられました。すなわち、第三者からの提供(法第 23 条第1項各号に掲げる場合並びに個 人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提 供する場合を除く。)により、個人情報(政令第2条第2号に規定するものから取得した個人情報を除く。)を取得する場合には、提供元の法 の遵守状況(例えば、オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管 理している者を提供元として選定するとともに、実際に個人情報を取得 する際には、例えば、取得の経緯を示す契約書等の書面を点検する等に より、当該個人情報の取得方法等を確認した上で、当該個人情報が適法 に取得されたことが確認できない場合は、偽りその他不正の手段により 取得されたものである可能性もあることから、その取得を自粛すること を含め、慎重に対応することが望ましいこととされました。『金融分野金融分野における個人情報保護に関するガイドライン』(平成21年11月20日金融庁告示第63号、最終改正:平成27年7月2日金融庁告示第66号(平成27年7月9日施行)において、同様の規定が設けられています。
改正個人情報保護法においては、これらのガイドラインをより発展させた、規定を設けております。ガイドラインにおいては、個人データの提供を受ける側の確認の努力義務でしたが、改正個人情報保護法は個人データの提供をする側の記録の作成義務も規定しております。
〇第三者提供に係る記録の作成等(改正個人情報保護法25条)
_個人情報取扱事業者は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければなりません。
_ただし、法令に基づく場合等保護法23条1項各号に該当する場合や個人情報の取扱いの委託、合併等の事業承継に伴う場合、個人データの共同利用といった保護法23条5項各号に基づく場合については、記録の作成・保存義務はありません。
_作成方法・記録事項(個人データを提供した年月日、提供する第三者の氏名・名称等)については、個人情報保護委員会規則で定めることとされています。
_第三者提供に係る記録は作成をした日から個人情報保護委員会規則で定める期間保存することとされています。
〇第三者提供を受ける際の確認・記録義務(改正個人情報保護法26条)
_個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認・記録を行わなければなりません。
_ただし、法令に基づく場合等保護法法23条1項各号に該当する場合や個人情報の取扱いの委託、合併等の事業承継に伴う場合、個人データの共同利用といった保護法23条5項各号に基づく場合については、確認義務・記録の作成・保存義務はありません。
_確認事項は以下のとおりです(確認方法は個人情報保護委員会規則で定められます。)。
�@当該第三者の氏名・名称
�A当該第三者の住所
�B法人である場合はその代表者の氏名(法人でない団体で代表者・管理人の定めのあるものについては、その代表者・管理人の氏名)
�C当該第三者による当該個人データの取得の経緯 *提供者がどのように取得したかのみ確認の対象であり、当初の個人データの保有者からの取得の経緯までは求め
られません。
_記録事項
�@個人データの提供を受けた年月日
�A確認に係る事項その他個人情報保護委員会規則で定める事項
_記録の保存
記録を作成した日から個人情報保護委員会規則で定める期間保存しなければなりません。
_第三者提供をする第三者は、個人情報取扱事業者が上記の確認を行う場合、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはなりません。
〇事業者に確認義務・記録の作成・保存義務の違反がある場合
_個人情報保護委員会は、�@事業者に対して、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告すること、�A勧告を受けた事業者が正当な理由なく勧告された措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認められるときは、勧告した措置をとるよう命令することができます(改正個人情報保護法42条1項・2項)。
_個人情報保護委員会は事業者に対して、個人情報の取扱いについて報告を求め、又は立入検査を行うことができます(改正個人情報保護法40条)。
_命令を受けた事業者が命令に従わない場合は、6か月以下の懲役または30万円以下の罰金に処せられます(改正個人情報保護法84条)。
*********************
改正個人情報保護法につきましてご相談等につきましては、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp