トピックス

2021.01.26
NEWS

【最新情報:改正個人情報保護法】個人関連情報の第三者提供の制限等(政令案・委員会規則案を踏まえたもの)

 
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
【下記のニュースレター形式(PDF)もご覧ください】 
【最新情報:改正個人情報保護法】個人関連情報の第三者提供の制限等(政令案・委員会規則案を踏まえたもの)

【下記もご覧ください】
最新情報:漏えい等報告及び本人通知(政令案・委員会規則案を踏まえたもの)
漏えい等報告書(別紙様式第一号)


「個人情報の保護に関する法律等の一部を改正する法律案」(令和2年法律第44号)に関して、2020年12月25日に『「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に関する意見募集について』(意見募集:2020年12月25日、受付締切:2021年1月25日)が公表されました。
本ニュースレターでは、同パブリックコメントで公表された施行令・施行規則の改正案のうち、本改正で新たに設けられる「個人関連情報の第三者提供の制限等」について解説するものです。
1.改正条文(改正法26条の2)
 
【改正法条文】
(個人関連情報の第三者提供の制限等)
第26条の2  個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第2条第5項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第23条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
 
〇法第26条の2第2項による法第24条第3項の読み替え
個人関連情報取扱事業者は、個人関連情報を外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければならない。
〇個人情報保護法施行規則第11条の4第1項
(外国にある第三者による相当措置の継続的な実施を確保するために必要な措置等)
第11条の4 法第24条第3項(法第26条の2第2項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
一 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
二 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施が困難となったときは、個人関連情報の当該第三者への提供を停止すること。
 
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
 
〇法第26条の2第3項による法第26条第2項から第4項までの読み替え
2 法第26条の2第1項の第三者は、個人関連情報取扱事業者が同項の規定による確認を行う場合において、当該個人関連情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
3 個人関連情報取扱事業者は、法第26条の2第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報提供をした年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4 個人関連情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
【改正施行令】
(個人関連情報データベース等)
第7条の2 法第26条の2第1項の政令で定めるものは、これに含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
【改正法施行規則】
(個人関連情報の第三者提供を行う際の確認)
第18条の2 法第26条の2第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。
2 法第26条の2第1項の規定による同項第2号に掲げる事実の確認を行う方法は、同号の規定による情報の提供が行われていることを示す書面の定時を受ける方法その他の適切な方法とする。
3 前2項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前2項に規定する方法による確認(当該確認について事情に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該提供に係る法第26条の2第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
 
(個人関連情報の第三者提供を行う際の確認に係る記録の作成)
第18条の3 法第26条の2第3項において読み替えて準用する法第26条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
2 法第26条の2第3項において読み替えて準用する法第26条第3項の記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
3 前項の規定にかかわらず、法第26条の2第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第26条の2第3項において読み替えて準用する法第26条第3項の当該事項に関する記録に代えることができる。
 
(個人関連情報の第三者提供を行う際の記録事項)
第18条の4 法第26条の2第3項において読み替えて準用する法第26条第3項の個人情報保護委員会規則で定める事項は、次に掲げる事項とする。
一 法第26条の2第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあたっては、同項第2号の規定による情報の提供が行われていることを確認した旨
二 個人関連情報を提供した年月日(前条第2項ただし書の規定により、法第26条の2第3項において読み替えて準用する法第26条第3項の記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)
三 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
四 当該個人関連情報の項目
2 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第26条の2第3項において読み替えて準用する法第26条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第26条の2第3項において読み替えて準用する法第26条第3項の当該事項の記録を省略することができる。
 
(個人関連情報の第三者提供に係る記録の保存期間)
第18条の5 法第26条の2第3項において準用する法第26条第4項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間とする。
一 第18条の3第3項に規定する方法により記録を作成した場合  最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
二 第18条の3第2項ただし書に規定する方法により記録を作成した場合  最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
三 前2号以外の場合  3年
 
(第三者提供を受ける際の記録)
第17条 法第26条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
一・二(略)
三 個人関連情報取扱事業者から法第26条の2第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
イ 法第26条の2第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
ロ 法第26条第1項第1号に掲げる事項
当該個人関連情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
ハ 第1号ハに掲げる事項
当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人関連情報の項目
2(略)
〇法第26条第3項
個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

2.用語の定義
改正法上、「個人関連情報」、「個人関連情報データベース等」、「個人関連情報取扱事業者」という新たな定義が置かれることになります(改正26条の2第1項)。
(1)「個人関連情報」
生存する個人に関する情報であって、個人情報仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
「個人関連情報」に該当するのは、郵便番号、メールアドレス、性別、職業、趣味、顧客番号、Cookie情報、IPアドレス、契約者・端末固有IDなどの識別子情報および位置情報、閲覧履歴、購買履歴と言ったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられます。
 なお、統計情報は個人に関する情報ではないので、「個人関連情報」には該当しないものと考えられます。
 
(2)「個人関連情報データベース等」(改正法26条の2第1項、改正令7条の2)
①個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの
②これに含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、検索その他検索を容易にするためのものを有するもの
 
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベースが「個人関連情報データベース等」に該当すると考えられます。
 
(3)「個人関連情報取扱事業者」
「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいいます。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベース(個人関連情報データベース等)から、特定のCookieやID等の識別子に紐づけられた閲覧履歴や趣味嗜好の情報を利用企業(第三者)に提供するDMP事業者が「個人関連情報取扱事業者」に該当するものと考えられます。
〇改正法における個人関連情報の第三者提供規制の概要

出所:個人情報保護委員会作成資料

〇個人関連情報に関する規制の一般的フロー

出所:個人情報保護委員会作成資料

3.個人関連情報取扱事業者から個人関連情報の提供を受けて個人データとして取得する「第三者」の義務(改正26条の2第1項1号、26条の2第3項の準用する26条2項)
(1)本人の同意の取得義務(改正26条の2第1項1号)
ア 改正法の規律
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて個人データとして取得する「第三者」は、「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得する必要があります(改正26条の2第1項1号)。

イ 本人からの同意取得の態様・方法について(令和2年11月20日個人情報保護委員会資料より)
 改正法において新たな規律を設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。
 このような趣旨からすれば、本人関与の機会を実質的に確保できるよう、本人同意の取得の態様・方法を検討する必要があります。
 個人情報保護委員会は、本人関与の機会を実質的に確保するということからすれば、本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきではないか、としています。
 明示の同意としては、ウェブサイトでの同意の取得の場合は、ウェブサイト上で必要な説明を行った上で、本人に当該ウェブサイト上のボタンのクリックを求める方法が考えられます。
プライバシーポリシーにおいて、個人関連情報の提供について、利用者側にこれを拒否する選択肢を与えている(拒否されない限り同意しているものとして扱う)場合、これをもって本人の同意を得たものとは認められません。
 同意の取得の具体的な方法については、例示をガイドラインで示される予定です。

〇ウェブサイトでの同意の取得の例

出所:個人情報保護委員会作成資料

ウ 「個人データとして取得することが想定されるとき」(改正26条の2第1項1号)の語義
① 基本的な考え方
 改正法の規制は、個人関連情報の提供全般に適用されるものではなく、提供先において「個人データとして取得することが想定されるとき」に適用されるものです。
 「個人データとして取得することが想定されるとき」との文言は、制度改正大綱における「明らかな」を法文で表したものであり、その意味するところは同様です。
 
「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(P.25抜粋)
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
 
②「想定される」の語義
  「想定される」かどうかは、まず提供元の認識を基準とすべきです。他方で、一般人が通常想定できるような場合に、提供元が認識をしていないことを理由に規律が適用されないとすれば、提供先での取扱を確認していない事業者が規制の適用を免れることになりかねず、相当でありません。
 そこで、「想定される」場合に該当するかどうかは、「提供元の認識」と「一般人の認識」の双方を基準に判断すべきです。その具体的については、ガイドラインで示される予定です。
 〇「想定される」の判断基準のイメージ
提供元の認識を基準に「想定される」に該当する例
  • 第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている場合
一般人の認識を基準に「想定される」に該当する例
  • 第三者に個人関連情報を提供する際、当該第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合
 
③「個人データとして取得」の語義
 本条における「個人データとして取得」の典型例として、個人関連情報を直接個人データに付加する場合が挙げられます。一方、直接個人データに紐付けて活用しないものの、別途、提供先が保有する個人データとの容易照合性が排除できない場合まで規律を適用するか、検討する必要があります。
 改正法の趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。容易照合性によって個人データになる場合は、提供先が積極的に照合行為を行わない限り本人を識別できないことから、適用対象とする必要はないのではないと考えられます。
 そこで、個人情報保護委員会は、本条における「個人データとして取得」は、提供先において、個人データに個人関連情報を付加する等、個人データとして積極的に利用しようとする場合に限られるとしてはどうか、と提案しています。
 なお、提供先事業者が、個人データとして積極的に利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合には、個人情報の「不正取得」(個人情報保護法17条1項)に該当し得ます。

エ 同意についての経過措置(改正法附則5条1項)
 改正法の施行日前になされた本人の「個人関連情報」の取扱いに関する同意がある場合は、その同意が改正法26条の2第1項の規定による「個人関連情報」の第三者への提供を認める旨の同意に相当するものであるときは、同項第一号の同意があったものとみなされます。

(2)外国にある第三者の義務(情報提供義務・相当措置の継続的な実施)
ア 本人の同意の取得に先立つ情報提供義務(改正法26条の2第1項2号)
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて個人データとして取得する「外国にある第三者」は、「本人の同意」(上記ア)を得ようとする場合は、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければなりません(改正法26条の2第1項2号)。すなわち、いわゆる「インフォームド・コンセント」が必要となります。
 本人に情報提供をしなければならない具体的な内容は以下のとおりです(改正規則1条の3第2項)。
  • 当該外国の名称(同項1号)
  • 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(同項2号)
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報(同項3号)
 
 この情報提供の方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法によります(改正規則11条の3第1項)。

イ 相当措置の継続的な実施(改正法26条の2第3項の準用する改正法24条3項)
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて個人データとして取得する「外国にある第三者」は、個人データの取扱いについて個人情報保護法第4章第1節の規定(同法15条から35条まで)により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(以下「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備しなければなりません(改正法26条の2第3項の準用する改正法24条3項)。
個人情報保護委員会規則で定める基準」とは、以下のいずれかに該当することです(規則11条の2)。
 
  • 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること。(同条1号)
  • 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。(同条2号)
 
①「個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること」(規則11条の2第1号)
 「適切かつ合理的な方法」とは、以下のものが想定されます(個人情報保護法ガイドライン(外国第三者提供編)3-1)。
事例1)外国にある事業者に個人データの取扱いを委託する場合
    提供元及び提供先間の契約、確認書、覚書等
事例2)同一の企業グループ内で個人データを移転する場合
    提供元及び提供先に共通して適用される内規、プライバシーポリシー等
 「法第四章第1節の規定の趣旨に沿った措置」としては、「日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合」、「日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合」に応じて以下の措置が想定されます(個人情報保護法ガイドライン(外国第三者提供編)3-1)。
 
法第4条第1節の規定の趣旨に沿った措置 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
第15条 利用目的の特定 委託契約において、外国にある事業者による利用目的を特定する。 就業規則等において利用目的を特定する。
第16条 利用目的による制限 委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。 従業員情報を就業規則において特定された利用目的の範囲内で利用する。なお、利用目的の範囲を超える場合には、当該従業員の同意を得る必要があるが、その場合、日本にある個人情報取扱事業者が同意を取得することも認められるものと解される。
第17条 適正な取得 外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。 外国にある親会社が内規等に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
第18条 取得に際しての利用目的の通知等 日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。 日本にある個人情報取扱事業者が従業員に対して利用目的の通知等をする。
第19条 データ内容の正確性の確保等 委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うことになる。 日本にある個人情報取扱事業者を通じて従業員情報の正確性を確保する。
第20条 安全管理措置 委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。GL(通則編)「(別添)講ずべき安全管理措置の内容」を参照。 内規等により外国にある親会社が安全管理措置を講ずる旨を規定する。
第21条 従業者の監督 委託契約により外国にある事業者の従業者の監督に係る措置を規定する。 内規等により外国にある親会社の従業者の監督に係る措置を規定する。
第22条 委託先の監督 委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
①適切な委託先の選定
②委託契約の締結
③委託先における個人データ取扱状況の把握
内規等により外国にある親会社の再委託先の監督に係る措置を規定する。
第23条 第三者提供の制限 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。 内規等により外国にある事業者からの個人データの第三者提供を禁止する。
第24条 外国にある第三者への提供の制限 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法22条の委託先の監督義務のほか、法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
内規等により外国にある親会社からの個人データの第三者提供を禁止する。
外国にある親会社から更に他の国にある子会社等に個人データを移転する場合にも、内規等により法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
第27条~第33条、第35条 保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
内規等により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。
 
②個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。(規則11条の2条第2号)
 提供先の外国にある第三者が、APECの越境プライバシールール(CBPR)システムの認証を得ていることが該当します。

(3)個人関連情報取扱事業者から個人関連情報の提供を受けて個人データとして取得した場合の記録の作成・保存義務(法26条3項、4項)
ア 個人関連情報の提供を受けて個人データとして取得した場合の記録の作成義務(法26条3項、規則16条、改正規則17条1項3号)
①記録義務(法26条3項、改正規則17条1項3号)
 個人情報取事業者は、「個人関連情報の提供を受けて個人データとして取得した場合」には、以下の事項を記録しなければなりません。

(i) 個人関連情報の提供を受けて個人データと取得することについての本人の同意が得られている旨(外国にある個人情報取扱事業者の場合は、本人の同意を得ようとする場合において、法26条の2第1項第2号の規定による情報の提供が行われている旨(上記2(2)ア参照))(改正規則17条1項3号イ)
(ii) 当該第三者(当該個人関連情報取扱事業者)の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(法26条1項1号に掲げる事項)(同号ロ)
(iii) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項(同号ハ)
(iv) 当該個人関連情報の項目(同号ホ)
 
 なお、記録事項(改正規則17条1項3号に規定する事項)のうち、施行日前に規則16条(第三者提供を受ける際の確認に係る記録の作成)に規定する方法に相当する方法で記録(当該記録を保存している場合に限る。)を作成しているものについては、規則17条2項に基づき、既に記録された事項と内容が同一であるものについては記録を省略できます(経過措置:改正規則附則3条)。

②記録の作成方法(法26条3項、改正規則16条)
 上記①の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によります(規則16条1項)。
 個人情報取扱事業者は、個人関連情報の提供を受けて「個人データとして取得した場合」都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(オプトアウトの方法(法23条2項)による提供を除く。以下同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができます(規則16条2項)。
 上記にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に上記①に定める事項が記載されているときは、当該書面をもって当該事項に関する記録に代えることができます(規則16条3項)。
 
イ 記録の保存義務(法26条4項、規則16条、改正規則17条1項3号)
 個人情報取扱事業者は、上記アの記録を、当該記録を作成した日から以下の各場合に応じて一定期間保存しなければなりません。
 
場合 保存期間
①本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合(規則18条1号、16条3項) 最後に当該記録に係る個人データの提供を受けた日から起算して一年を経過する日までの間
②当該第三者から継続的に若しくは反復して個人データの提供(オプトアウトの方法による提供を除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれる場合(規則18条2項、16条2項ただし書) 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
③上記①・②以外の場合(規則18条3項) 3年
 
ウ 第三者提供を受ける際の確認義務(法26条1項)を負うか
 上記アのとおり、「個人関連情報の提供を受けて個人データとして取得した場合」には、第三者から個人データの提供を受けたものとして、法26条3項の委任する改正規則17条1項13号に規定されている事項に関する記録を作成する義務を負います(上記ア①)。
法26条3項の記録の作成義務は、同条1項の第三者から個人データの提供を受ける際の確認義務を前提としているので、「個人関連情報の提供を受けて個人データとして取得した場合」においても、確認義務を負うのかが問題となります。
 この点、「個人関連情報の提供を受けて個人データとして取得した」第三者は、改正規則17条1項3号ロに基づき、確認事項の一つである法26条1項1号に掲げる事項(当該個人関連情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名)を記録しなければならないが、もう一つの確認事項である法26条1項1号の「当該第三者による当該個人データの取得の経緯」について記録する必要はありません。
 これは「個人関連情報」であり「個人データ」ではないから「当該第三者による当該個人データの取得の経緯」はないに過ぎず、法26条1項1号に規定する事項(当該個人関連情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名)については個人関連情報取扱事業者に対して確認をしなければならないものと考えられます。
 
(4)個人関連情報取扱事業者による確認に際しての偽りの禁止
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて個人データとして取得する「第三者」は、個人関連情報取扱事業者が法26条の2第1項の確認を行う場合(下記3(1)参照)において、当該個人関連情報取扱事業者に対して、当該確認に係る事項を偽ってはなりません(改正法26条の2第3項の準用する法26条2項)。

4.個人関連情報取扱事業者の確認義務
(1)確認義務(法26条の2第1項1号)
 「個人関連情報取扱事業者」は、「第三者」が「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、当該「第三者」が「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を得ていることを確認する必要があります。
個人関連情報取扱事業者による確認事項およびそれらに対する確認方法は以下のとおりです(改正18条の2)。
①本人の同意(改正法26条の2第1項1号、改正規則18条の2第1項)(上記3(1)参照)
 ⇒個人関連情報の提供を受ける第三者からの申告を受ける方法その他の適切な方法
②当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報(改正法26条の2第1項2号、改正規則18条の2第2項)(上記3(2)ア参照)
 ⇒当該情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法
  (具体例)
  ・提供先から本人に対する情報提供の方法を説明した書面の差し入れを受ける方法
  ・提供元において、提供先のプライバシーポリシー等を確認し、同意取得に際して越境移転にかかる情報提供を行っていることを確認する方法
③既に上記①・②に規定する方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)が行っている事項の確認を行う方法(改正規則18条の2第3項)
 ⇒当該事項の内容と当該提供に係る法26条の2第1項各号に掲げる事項の内容が同一であることの確認を行う方法
④本人の同意の確認に関する経過措置
 改正法26条1項1号に規定する事項(当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意)についいて、施行日前に改正規則18条の2(第三者提供を受ける際の確認に係る記録の作成)に規定する方法に相当する方法で記録(改正規則18条の3に規定する方法で記録を作成し、かつ、保存している場合に限る。)を作成しているものについては、改正規則18条の2第3項により、既に記録された事項と内容が同一であるものについては記録を省略できます(改正規則附則4条)。
 
(2)記録の作成義務
 個人関連情報取扱事業者は、改正法26条の2第1項(上記(1)参照)の確認を行った場合は、個人情報保護委員会規則で定めるところにより、当該個人関連情報の提供をした年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければなりません(改正法26条の2第3項の準用する法26条3項)。
ア 記録事項(改正規則18条の4第1項・2項)
   記録事項は以下のとおりです。
(i) 法26条の2第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることを確認した旨
(ii) 個人関連情報を提供した年月日
(iii) 当該第三者の氏名または名称および住所ならびに法人に関してはその代表者の氏名
(iv) 当該個人関連情報の項目
 既に作成した記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一である場合は、記録を省略できます(改正規則18条の4第2項)。

【経過措置】
 記録事項(改正規則18条の4第1項に規定する事項)のうち、施行日前に改正規則18条の3に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、改正規則18条の4第2項に基づき、既に作成した記録に記録された事項と内容が同一である場合は、記録を省略できます(改正規則附則5条)。

 なお、第158回個人情報保護委員会(令和2年(2020年)11月20日)では、提供元において本人の氏名等は有しないため、ユーザーID等の記録・保存を求めるかが検討されましたが、記録・保存を求めることはかえってリスクを増大させることになり、トレーサビリティも提供先の本人の氏名等の記録で確保されることから、記録の対象としないこととされました。

〇記録のイメージ(提供先別に記録する場合)

出所:個人情報保護委員会作成資料

イ 記録の作成方法(改正規則18条の3第1項)
   文書、電磁的記録又はマイクロフィルムを用いて作成する方法によります。
ウ 作成頻度(改正規則18条の3第2項、3項)
   作成頻度は以下の場合に応じて以下のとおり。
 
場合 作成頻度
原則(改正規則18条の3第2項本文) 個人関連情報を第三者に提供した都度、速やかに作成しなければならない。
当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録(改正規則18条の3第2項ただし書) 一括して作成できる。
本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されている場合(改正規則18条の3第3項) 記録に代えることができる。
 
(3)記録の保存義務
 個人情報取扱事業者は、上記(2)で作成した記録を、以下の場合に応じて以下の期間保存しなければなりません(改正26条の2第3項の準用する法26条4項、改正規則18条の5)。
場合 期間
本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載された記録に代えた場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれる場合で一括して作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
上記以外の場合 3年
 
(4)外国にある第三者による相当措置の継続的な実施を確保するために必要な措置等(改正法26条の2第3項の準用する改正法24条3項)
 個人関連情報取扱事業者は、個人関連情報を外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供し、当該外国にある第三者が個人関連情報を個人データとして取得することが想定される場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講なければなりません。
 第三者が講ずる「相当措置の継続的な実施」については、上記3(2)イに記載するとおりです。
 個人関連情報取扱事業者が講ずるべき「外国にある第三者による相当措置の継続的な実施を確保するために必要な措置」は以下のとおりです(改正規則11条の4)。
「個人情報保護委員会規則で定める基準」とは、以下のいずれかに該当することです(規則11条の2)。
①当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
②当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人関連情報の当該第三者への提供を停止すること。

(5)個人関連情報取扱事業者は法23条1項・法24条1項の個人データの第三者提供に関する同意を取得する必要があるか。
 上記3(3)のとおり、個人関連情報取扱事業者から個人関連情報の提供を受けて個人データとして取得した「第三者」は、個人データの第三者提供を受けた第三者が負う(確認義務及び)記録の作成・保存義務(法26条3項、4項)を負います。
 このことから、個人関連情報取扱事業者が、個人データの第三者提供をした場合の本人の同意の取得義務(法23条1項、法24条1項)を負うかが問題となります。
 この点、①法23条1項及び法24条1項の義務は、「個人情報取扱事業者」が負う義務であって、「個人関連情報取扱事業者」が負う義務ではないこと、②個人関連情報の提供先の第三者において個人データとして取得する場合に、当該個人データ(個人情報)に係る本人は把握しているとしても個人関連情報取扱事業者は個人関連情報だけからは特定の個人が識別できないことから、そもそも、本人から同意を取得することは不可能です。
 したがって、個人関連情報取扱事業者が、個人データの第三者提供をした場合の本人の同意の取得義務(法23条1項、法24条1項)を負わないものと考えられます。