GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. シリーズ【個人情報保護はこう変わる】(2)改正個人情報保護法の施行で、すぐに対応が必要なこととは

シリーズ【個人情報保護はこう変わる】(2)改正個人情報保護法の施行で、すぐに対応が必要なこととは

-第三者から個人情報の提供を受けた場合、確認と記録が義務化-

2016年9月28日(水曜日)

2016年11月30日 2017年春の改正個人情報保護法の全面施行時に適用される正式ガイドラインが公開されました。それによると、本文中の「【図表1】企業において第三者提供を受ける想定例」では、いずれも確認・記録は不要と解釈できます。したがって本稿の内容は、名簿業者から個人情報を買い入れるなど、確認・記録が必要な場面におけるケースと読み替えてください。

改正法が全面施行された場合、真っ先に対応が必要であると想定する事柄に焦点を当てます。どの企業も関係すると思われる「第三者提供を受けた場合の確認と記録の義務化」です。対応が必要となるシーンとしては、次のようなケースです。

【図表1】企業において第三者提供を受ける想定例

1 新卒採用や通年採用において、リクルート会社から自社への就職希望者の個人情報を受け取るケース
2 ショッピングモールや百貨店等における委託販売において、受託販売者から購入者の個人情報を受け取るケース

この対応は、一旦、個人情報が漏洩すると個人情報が転々と流通する事態を防ぎ、またトレースバックを可能とする仕組みです。いわゆる「名簿屋対策」ですが、一般の企業についても同様な対応が必要となります。

1.第三者提供を受けた場合、確認と記録が必要

第三者提供として個人情報の提供を受けた場合、一言で言えば違法に収集されていないことの確認と、その記録を残すことが必要です。現在は確認と記録はあくまで任意ですが、今後は法に基づく義務となります。

企業がとるべき対応は、提供を受けた時の確認や記録および保管について、まずはきちんとした手順を定めることです。担当者が変わったら止めてしまった、担当者の判断で記録を消してしまったといったことが起こらないように業務を設計したうえで、教育を行って社員に周知・徹底してください。

2.第三者提供を受けるとは?

企業が個人情報を、他の会社に提供するには、大きく2つの方法があります。委託による提供と第三者提供による方法です。この2つを正しく理解することが必要です。

【図表2】委託による提供と第三者提供の要件

カテゴリ 提供することについて本人の同意 提供先に対する管理・監督
1 委託による提供 -(不要) 〇(必要)
2 第三提供による提供 〇(必要) -(不要)

以上のように、委託の場合は委託先に対して企業が管理監督をするため、本人の同意は不要です。一方、第三者提供の場合は、提供先において漏洩等が発生したとしても、企業は一切の責任はありませんが、その代わり本人の同意が必要です。

本人の同意も不要であり、提供先への管理・監督も不要なケースは、法令で特例が認められています。ただ特殊なケースに限られており、またハッピーなケースではありません。例えば、社員が急病で意識不明となり救急隊員に本人の氏名を告げるケースや、警察が捜査令状を示し社員の行動記録が求められた場合です。いずれも本人の同意なく提供して構いません。

3.契約名称に「委託」が含まれていても要注意

「第三者提供」または「委託」かについては、契約書などの名称に「委託」がついている、いないは直接関係ありません。あくまでも個人情報の取り扱いで判断します。

例えば、契約名称には委託が含まれており、他の会社から個人情報の提供を受けている場合であっても、定期的に管理・監督していない場合は、法を満足しておらず、「第三者提供」と考えるべきです。この場合、本人の同意が必要です。仮に同意を取っていないならば、不法な第三者提供や受領となります。いずれにしても、現在、個人情報の授受について、調査および洗い出しをして、整理しておくことが対策への第一歩です。

4.第三者提供を受ける際の確認事項

他の事業者から個人情報を受領した都度、確認する事項を次に示します。

【図表3】第三者提供を受ける時の確認事項(施行規則案第15条より)

確認すべき事項 確認方法
当該第三者の氏名及び住所等 当該第三者から申告を受ける方法など
当該第三者による当該個人データの取得の経緯 当該個人データの取得の経緯を示す契約書など書面の提示を受ける方法などの適切な方法

まとめると、提供元が正当に収集した個人情報であることを確認することを意味します。信頼できる事業者であることと、当該事業者が法に適合した方法で収集した個人情報であることの確認をします。

アにおける事業者の代表者の氏名などは、登記簿謄本といった公的書類でなくとも何らかの書面を入手することで対応が比較的容易です。イについては、本人と当該事業者間の契約書は、通常、自社に開示されることは考えにくいため、代替方法を検討することになります。

なお、これらの確認は、個人情報を受領するたびに確認することが原則ですが、以降に説明する、記録を保管している場合に限り、その記録内容と同一であることをもって確認とすることができます。

5.第三者提供を受けた際の記録

他の事業者から個人情報を受領した都度、速やかに記録する事項を次に列記します。

【図表4】第三者提供を受けた際、記録すべき情報(施行規則案第16条、第17条より)

記録すべき事項 備考
本人の同意を受けている旨
当該第三者の氏名及び住所等 前述の確認すべき事項として確認した結果
当該第三者による当該個人データの取得の経緯 前述の確認すべき事項として確認した結果
受領した個人情報によって、識別される本人の氏名など
受領・提供した情報項目

いかがでしょうか? トレーサビリティを確保するためには、相応の情報項目を記録することが必要となります。受領を受けたタイミング、提供元事業者の収集の正当性、さらには本人が同意した旨、識別される本人の氏名(100名分なら100名の記録)、受領したデータ項目など、多岐にわたります。

業務に与える負荷も決して少なくありません。頻繁に受領する、あるいは、データ件数が多い場合は手作業で記録するのではなく、何らかのITシステムによる記録も考慮した方が良いでしょう。

継続反復して受領する場合は、一括して作成することは許容されていますが、前述の確認は都度確認が必要です。受領日も異なることを考慮すると、受領ごとに確認して記録するように業務を設計することが、失念などを防ぐには効果的です。

6.記録の保管期間

原則として個人情報の提供を受けた日から3年間です。

7.提供側の申告などに虚偽があった場合や罰則規定など

職業紹介事業者や委託販売など通常の正当な業務においては、虚偽の申告や個人情報の提供を受けることは想定できません。しかも万が一、虚偽の申告を受けた場合でも、相手方の内部で行われることであり、虚偽を発見することは実際には困難です。

このような事態を想定し、第三者提供をする側の企業は、提供先の企業が行う確認に際しては偽ってはならないと定められています。偽った場合は罰則が設けられています。

確認する側は、注意を払って確認すれば十分です。もちろん、法に違反して収集されていると判断できる場合は、受領を控えなければなりません。なお、受領する側の企業が行う確認と記録を怠った場合について罰則規定はありませんが、国の勧告や命令の対象となりますのでご留意ください。

現在の個人情報保護ガイドラインにおいても、規程等の整備や体制の整備等が求められており、部門担当者の教育、ITシステムの改修等も相応の期間が必要となります。早め早めの準備が肝要です。

シリーズ【個人情報保護はこう変わる】

関連サービス

【個人情報マネジメント支援サービス】
PUSH型の情報提供やご相談などを通じて、マイナンバー制度や改正個人情報保護法への対応を側面からご支援します。月額払いも可能な、3種の基本サービスタイプをご用意しました。


上 茂之

上 茂之(うえ しげゆき)
株式会社富士通総研 金融・地域事業部 エキスパートコンサルタント 兼 富士通株式会社マーケティング戦略室番号制度推進室員
2007年富士通総研入社。これまで、個人情報保護、情報セキュリティ、内部統制、事業継続計画、金融機関におけるシステムリスク管理態勢構築など、リスクマネジメント分野をテーマとしたコンサルティング業務に従事。2014年からは国のマイナンバー調査業務に参画し、民間企業におけるマインバー対応に関するコンサルティング業務に従事中である。