【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
渡邉雅之弁護士が金融財務研究会で改正個人情報保護法のセミナーをします。
今回は、本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)の改正においては、第三者提供に係る確認・記録義務が設けられます(法25条・26条)。
もっとも、一般の事業者においては、第三者提供に係る確認・記録義務が適用される場面はほとんどないものと考えられます。
_
第三者提供に係る確認・記録義務はもともと、名簿業者がいい加減なオプトアウトをして個人データを第三者提供していたことに端を発した制度設計です。
一般の事業者が本人の同意を得て個人データを第三者提供をする場合は、ほとんど、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」、「解釈により受領者に確認・記録義務が適用されない場合」に該当し、確認・記録義務は適用されないと考えてよいです。特に、解釈上の例外である「本人に代わって提供する場合」に該当するケースが多いでしょう。
_
ただし、オプトアウト手続により、提供・受領をする場合には、第三者提供に係る確認・記録義務があるのと考えた方がよいです。
事業者においては、改正個人情報保護法の全面施行日(平成29年5月30日)までに、自社において個人データの第三者提供をしている場合を洗い出して、解釈上の例外に該当しないか検討する必要があります。伝え聞いたところによると、ある銀行では、第三者提供に係る確認・記録をする必要がある場合は全くないと整理したとのことです。
以下では、法令・ガイドラインで第三者提供に係る確認・記録義務がないとされている場合について紹介します。
1 法23条1項各号に該当する場合
�@法令に基づく場合
�A人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 法23条5項各号に該当する場合
�@ 個人データの取扱いの委託
�A 合併の事業承継
�B 共同利用
3 個人情報取扱事業者でない個人が提供する場合
*個人情報取扱事業者ではない個人が個人データを提供する場合には、当該個人は記録の作成・保存義務はない。しかし、個人であっても事業者であれば個人情報取扱事業者として第三者提供に係る作成・記録義務を負う。
4 解釈により提供者及び受領者に確認・記録義務が適用されない場合(個人情報保護法ガイドライン(確認記録義務編)2-2-1)
場合
事例
本人による提供と整理できる場合
個人情報取扱事業者がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者及び取得した個人情報取扱事業者の双方において、確認・記録義務は適用されない。
本人に代わって提供する場合
事例1)本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合
事例2)事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
事例3)事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合
事例4)本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
事例5)保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に提供する場合
事例6)取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合
事例7)事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
事例8)本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
本人と一体と評価できる関係にある者に提供する場合
金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合
提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行う場合
振込依頼人の法人が、受取人の個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行の振込先の口座に振り込む場合
不特定多数の者が取得できる公開情報
*特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
ホームページ等で公表されている情報、報道機関により報道されている情報。
*当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない(規則13条1項1号ロ括弧。
*いわゆる公開情報であっても、「個人情報」(法2条1項)に該当するため、法第4章第1節のうち、確認・記録義務以外の規定は適用される。
5 解釈により受領者に確認・記録義務が適用されない場合(個人情報保護法ガイドライン(確認記録義務編)2-2-2)
場合
事例
受領者にとって「個人データ」に該当しない場合
*受領者を基準に判断されるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
*提供を受ける時点において、個人データに該当する場合には、確認・記録義務が適用される。
個人情報取扱事業者の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の個人情報取扱事業者の営業担当者に渡す場合
受領者にとって「個人情報」に該当しない場合
〇提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合
〇提供者で管理しているID番号のみが付された個人データの提供を受けた場合
〇単に閲覧をする行為の場合
〇一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないとき
*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp