※当記事は2016年12月時点の法令等に基づいて執筆されています。


個人情報保護

改正個人情報保護法が2015年9月に成立しました。

改正個人情報保護法は、個人データを第三者提供したり提供を受けたりする際に、取得経緯の確認・記録作成を義務付けたり(トレーサビリティ制度)、特定の個人を識別することができないように個人情報を加工した「匿名加工情報」の規定を新設するなどの大幅な改正をしています。

その中で、今回はトレーサビリティ制度について簡単に説明します。

「個人情報保護取扱事業者」の5,000要件撤廃→ほとんどの事業者が規制対象へ

トレーサビリティ制度の説明の前に、そもそも個人情報保護法は、「個人情報取扱事業者」に対する規制が中心になっています。

「個人情報データベース等を一定の社会性・反復継続性を持って取り扱う事業者」は個人情報の取扱数にかかわらず「個人情報取扱事業者」に該当します。

改正前は個人情報の取り扱い件数過去6ヵ月間で5,000以上でなければ「個人情報取扱事業者」ではありませんでしたが、取り扱い件数の要件は、改正により撤廃されました。

つまり、改正法下では、ほとんどの事業者が「個人情報取扱事業者」に該当し、個人情報保護法の規制対象となります

トレーサビリティ制度とは

話を戻します。

「トレーサビリティ」とは、物流業界等で流通経路を追跡管理するという意味で用いられることが多いですが、個人情報についても、いわゆる「名簿業者」対策として、個人情報の取得経路を追跡管理をしようという趣旨で盛り込まれたものです。

個人情報を第三者に提供する場面は業務の中で比較的多く発生します。

具体的に内容を見ていきます。

第三者提供に係る規則作成

まず、法25条は、「個人情報取扱事業者」が個人データを第三者提供したときの記録の作成、保存義務を定めています。※以下は、すべて改正法を前提に条文を引用しております。

イメージとして、A会社がBさんの個人情報(氏名、住所、電話番号等)を持っているとします。

そして、A社がC社にBさんの個人情報を提供する場合の、A社の義務です。

具体的には、事業者が個人データを第三者に提供した時は、

  1. 提供した年月日
  2. 第三者の氏名又は名称
  3. その他の個人情報保護委員会規則で定める事項※1

に関する記録を作成しなければならず、当該記録を作成した日から、個人情報保護委員会規則で定める期間※2保存しなければなりません。

しかし、

  1. 国の機関、地方公共団体等に対して提供する場合
  2. 法令に基づく提供をする場合(法23条1項各号)
  3. 委託(法23条5項に定めるもの)、合併等事業承継、共同利用により提供する場合

等には記録の作成および保存の義務を負いません(法25条1項)。

第三者提供を受ける際の確認・記録作成

そして、逆に事業者が個人データを第三者から取得するときの規則の作成、保存義務もあります。

先述のイメージでいう、C社の義務です。

具体的には、個人事業取扱事業者が、個人データを第三者から取得した時は、

  1. 取得の経緯
  2. 第三者の氏名又は名称および住所ならびに法人にあってはその代表者の指名
  3. 個人データの提供を受けた年月日
  4. その他の個人情報保護委員会規則で定める事項※1

に関する記録を作成しなければならず、

→記録作成義務

当該記録を作成した日から、個人情報保護委員会規則で定める期間※2保存しなければなりません。

→記録保存義務

※1 追加事項については、オプトアウト※3提供の場合か、本人同意の方法かにより定められています(個人条保護委員会規則案13、17条)。

※2 保存期間については、記録作成方法に応じて、提供を行った(受けた)、もしくは作成した日から1~3年と定めています(個人条保護委員会規則案14、18条)。

記録を作成し、保存する義務があるということは当然提供時に記録すべき事項について確認をしなければなりません。

つまり、※1からすれば、本人同意の方法による取得なのか、オプトアウトの方法による提供場面なのかを把握しておく必要があるということです。

これは、意識的に確認しなければ判断できないので、要注意です。

※3 オプトアウト あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておくことで、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めること

提供を受ける場合にも、例外はあり、

  1. 国の機関、地方公共団体等から提供を受ける場合
  2. 法令に基づき提供を受ける場合(法23条1項)
  3. 委託、合併等事業承継、共同利用により提供を受ける場合

等には、記録の作成および保存の義務は負いません(法26条)。

違反行為に対するサンクション

トレーサビリティ制度に対する違反行為は、個人情報保護委員会による立入検査、指導、勧告および命令の対象となり(法40~42条)、命令違反に対する罰則もあります(法84条)。

おわりに

改正個人情報保護法の全面施行も2017年5月に迫り、情報提供者の個人情報に対する意識も高くなっており、個人情報管理に関する体制整備は急務です

  • 具体的にどのように個人情報を管理すればよいのか?
  • この場面は第三者提供に当たるのか?
  • 本人の同意なく第三者提供をするためにはどのような手段があるのか?
  • プライバシーポリシーはどのように作ればいいのか?

等個人情報保護に関する問題についてお困りの際はご相談ください。

お問い合わせはこちら

企業側・使用者側専門の弁護士にお任せ下さい新規予約専用ダイヤル24時間受付中!メールでの相談予約