個人データを第三者に提供した個人情報取扱事業者は、第三者提供に関して記録を作成する義務を負います。
第三者提供に関する記録の作成
個人データのトレーサビリティを確保するため、改正個人情報保護法よって新設された規定です。
第三者提供に関する記録作成の義務が規定されるに至ったのは、大手通信教育会社からの個人データの大量の流出が契機になっています。刑事事件としては、不正競争防止法違反で立件されましたが、捜査当局が複数の名簿業者からどのように個人データが移転したかを把握することが困難だったようです。
そこで、この事件を契機に,個人データの移転についてトレーサビリティを確保するため、個人情報取扱事業者が第三者に個人データを移転したときは、記録の作成が義務付けられます。
(第三者提供に係る記録の作成等)
第二十九条 個人情報取扱事業者は、個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条及び次条(第三十一条第三項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
個人データを第三者に提供
記録作成義務が生じるのは、個人データを第三者に提供したときです。個人データではない個人情報を提供する場合は、記録作成義務は課されません。
ここでいう第三者には、個人情報取扱事業者に限らず、一般の私人を含みます。たとえば、名簿業者が私人に名簿を売却する場合、名簿業者は記録を作成する必要があります。
また、第三者提供について、事前に本人の同意を得ている場合であっても、記録作成義務は免除されることはありません。
この記録作成義務は、個人情報取扱事業者に課される義務です。したがって、個人情報取扱事業者に該当しない個人が、私的に個人データを第三者に提供した場合、記録作成義務はありません。
第16条第2項各号に掲げる者
国の機関、地方公共団体、独立行政法人等、地方独立行政法人に提供された場合、記録作成義務は生じません。個人データの移転がその後、不明確になることが想定し難いからだと説明されています。
個人情報保護委員会規則で定めるところにより
記録の作成は、文書、電磁的記録、マイクロフィルムを用いる方法によるとされています。
個人データを第三者提供する都度、速やかに記録を作成する必要があります。ただし、当該第三者に対して反復又は継続して個人データを提供する場合若しくは当該第三者に反復又は継続して個人データを提供することが確実と見込まれる場合は、一括して記録を作成することができます。
また、本人の同意を得て本人に対する物品または役務の提供に関連して当該本人の個人データを第三者に提供する場合、その提供に関して作成された契約書その他の書面に法定事項が記載されている場合は、当該書面をもって記録作成に代えることができます。
個人データを提供した年月日,当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項
個人情報保護委員会規則では,オプトアウト方式とオプトイン方式を区別して規定しています。
オプトアウト方式の場合
①個人データを提供した年月日,②第三者の氏名,名称その他第三者を特定するに足りる事項,③個人データによって識別される本人の氏名その他本人を特定するに足りる事項,④個人データの項目を記録します。
オプトイン方式の場合
オプトアウト方式の②~④に加えて,本人の同意を得ていることを記録します。
個人情報保護委員会規則で定める期間保存
保存期間は,以下のとおりです。
(1)本人に対する物品または役務提供に関連して本人の個人データを第三者に提供した場合は,作成された契約書その他の書面に法的記載事項が記載されている場合は,最後に個人データの提供を行った日から1年を経過する日まで
(2)第三者に対して個人データを継続的又は反復して提供したとき,又は継続的又は反復して提供することが確実と見込まれる場合に一括して記録を作成した場合は,最後に個人データの提供を行った日から起算して3年を経過する日まで
(3)(1),(2)以外の場合は,3年