今回は、前回に引き続き、2017年5月30日に施行された個人情報保護法の改正について紹介を行いたいと思います。
今回は、第三者提供(外国にある第三者への提供の場合についても改正がありますが、紙面の都合上割愛します。)について説明します。
1.記録の作成、提供経緯の確認義務が新設されました
(1) 提供側
個人情報取扱事業者は、個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、表1に定める事項に関する記録を作成し、この記録を保存する義務が課されました(個人情報保護法第25条)。
(2) 受領者側
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行う必要があります。
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
② 当該第三者による当該個人データの取得の経緯
また、個人情報取扱事業者は、かかる事項についての確認を行ったときは表1に定める事項に関する記録を作成し、この記録を保存する義務が課されました(個人情報保護法第26条)。
(3) 確認・記録義務の対象外となる場合
当該個人データの提供が①から⑦までの事項に該当する場合には対象外となります。
① 法令に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
⑤ 個人情報取扱事業者が個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
⑥ 合併その他の事由による事業の承継に伴って個人データが提供される場合
⑦ 共同利用の場合
また、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」においても、解釈により対象外となる場合が規定されています(「2-2 解釈により確認・記録義務が適用されない第三者提供」)。
具体的には、①本人用提供と整理ができる場合、②本人に代わって提供する場合、③本人と一体と評価できる関係にある者に提供する場合などがあります。
合わせて確認をしておきましょう。
(4) 記録の作成及び保存について
第三者提供における確認義務については、上記のとおり、記録の作成及び保存が必要になりますが、その内容は次のとおりです。
2.オプトアウトについて、個人情報保護委員会への届出等が必要になりました
個人情報取扱事業者は、オプトアウト(本人の求めに応じて停止することができるのであれば、本人の事前同意がなくても第三者提供が可能となる手続をいいます。)の方法により第三者提供を行う場合については、あらかじめ、①本人に通知し、又は本人が容易に知り得る状態に置くとともに、②個人情報保護委員会に届け出ることが必要となりました。
また、かかる届出があったときは、個人情報保護委員会により、当該届出に係る事項を公表しなければならないとされました。(続)
執筆者紹介
弁護士