前回は、個人情報取扱事業者の義務のうち、個人情報に関する義務を解説しました。今回は、個人データに関する義務について解説します。
1 個人データに関する義務
個人データに関するルールをまとめると、以下のようになります。
(1) 個人データの提供に関するルール
- 第三者提供の制限(個人情報保護法23条)
- 外国にある第三者への提供の制限(個人情報保護法24条)
- 第三者提供に係る記録の作成等(個人情報保護法25条)
- 第三者提供を受ける際の確認等(個人情報保護法26条)
※ これは、「提供を受ける」ことについてのルールなので、取得に関するルールと見ることもできます。
(2) 個人データの管理に関するルール
- 正確性の確保等(個人情報保護法19条)
- 安全管理措置(個人情報保護法20条)
- 従業者の監督(個人情報保護法21条)
- 委託先の監督(個人情報保護法22条)
今回のコラムでは、これらのルールを詳しく解説します。
2 第三者提供の制限(個人情報保護法23条)・外国にある第三者への提供(個人情報保護法24条)
(1) 個人情報取扱事業者は、一定の場合以外、事前に本人の同意を得ないで、第三者に個人データを提供してはいけません。
「一定の場合」について、代表的なものを紹介すると、法令に基づく場合(個人情報保護法23条1項1号)や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(個人情報保護法23条1項2号)などです。これは、前回のコラム(「個人情報保護法の基礎知識(5)」)の「5 利用目的による制限(個人情報保護法16条)」で解説したのと同じものですので、詳しくはそちらを参照してください。
このように、個人データを第三者に提供するには、事前に本人の同意を得るか、一定の場合であることが必要である、というルールがあることをまず押さえてください。
(2) これに対して、第三者に提供される個人データについて、本人がやめて欲しいといえばその本人の個人データの提供をストップすることにしていて、一定の事項について、本人に通知するか、本人が簡単に知ることができる状態に置くとともに、個人情報保護委員会に届け出たときは、上記(1)のルールによらなくても、個人データを第三者に提供することができます(個人情報保護法23条2項)。これは「オプトアウトによる第三者提供」と呼ばれている制度です。表札や郵便受けを調べて住宅地図を作成・販売する住宅地図業者や、ダイレクトメール用の名簿等を作成・販売するデータベース事業者などは、この制度を利用しているといわれています。
(3) また、個人データが提供される場合であっても、
- 委託(利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合)
- 事業承継(合併その他の事由による事業の承継に伴って個人データが提供される場合)
- 共同利用(特定の者との間で共同して利用される個人データがその特定の者に提供される場合であって、一定の事項について、事前に本人に通知し、又は本人が簡単に知ることができる状態に置いているとき)
の各場合(個人情報保護法23条5項各号)は、個人データの提供を受ける者は「第三者」に当たらないこととされていますので、上記(1)のルールによらなくても、個人データを提供することができます。
(4) なお、上記(1)〜(3)のルールは、提供先の第三者が日本国内にある場合を前提としたものですが、外国にある第三者に個人データを提供する場合は、一定の場合以外、事前に外国にある第三者への提供を認めるという本人の同意を得ないといけません(個人情報保護法24条)。「一定の場合」については、上記(1)を参照してください。
外国にある第三者への提供の場合は、上記(2)で述べたオプトアウトによる第三者提供の制度を使うことはできませんし、上記(3)のような、「第三者」に当たらないという例外的な取扱いもされないことになっていますので、注意が必要です。
3 第三者提供に係る記録の作成等(個人情報保護法25条)・第三者提供を受ける際の確認等(個人情報保護法26条)
(1) 個人情報取扱事業者は、個人データを第三者に提供したときは、「誰に対して、誰のどのような個人データを提供したか」などについての記録を作成し、一定期間保存しないといけません。
また、個人情報取扱事業者は、個人データの提供を受けるときは、提供を受ける個人データがどのようにして入手されたものか(入手経路)を確認した上で、「誰から、誰のどのような個人データの提供を受けたか」などと一緒に記録し、一定期間保存しないといけません。
(2) もっとも、上記「2」の「(1)」で述べた「一定の場合」や、上記「2」の「(3)」で述べた①委託、②事業承継、③共同利用の各場合は、上記(1)の確認・記録義務は課せられません。
また、上記(1)の記録は、提供した都度、あるいは提供を受けた都度、速やかに作成しないといけないのが原則ですが、一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、一括して記録を作成することができますし、物品やサービスの提供の契約を結んだ相手方についての個人データを第三者に提供した場合に、必要な事項が契約書などの書面に記載されているのであれば、別途記録を作成しなくても、その契約書などの書面を記録として扱うことができます。
『個人情報保護法の基礎知識(6)-2』に続きます。
公開日