個人データの第三者提供を受けた個人情報取扱事業者は,個人情報保護法に基づく確認義務を負います。

第三者提供を受ける際の確認

 個人情報保護法の改正により,個人データの第三者提供を受けた個人情報取扱事業者は,確認義務を負うことになりました。

 この確認義務の主体は,個人情報取扱事業者なので,個人情報取扱事業者ではない個人が個人データの提供を受けても確認義務を負うことはありません。

 確認義務を負うのは,個人データの第三者提供の場合なので,本人から提供を受ける場合は,確認義務は負いません。

 第三者提供とは,個人情報取扱事業者に限りません。国の機関,地方公共団体等は第三者に該当しません。

個人情報保護法26条

1 個人情報取扱事業者は,第三者から個人データの提供を受けるに際しては,個人情報保護委員会規則で定めるところにより,次に掲げる事項の確認を行わなければならない。ただし,当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は,この限りではない。

 ①当該第三者の氏名又は名称及び住所並びに法人にあっては,その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては,その代表者又は管理者)の氏名

 ②当該第三者による当該個人データ取得の経緯

2 前項の第三者は,個人情報取扱事業者が同項の規定による確認を行う場合において,当該個人情報取扱事業者に対して,当該確認に係る事項を偽ってはならない。

3 個人情報取扱事業者は,第1項の規定による確認を行ったときは,個人情報保護委員会規則で定めるところにより,当該個人データの提供を受けた年月日,当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

4 個人情報取扱事業者は,前項の記録を,当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

個人データの提供を受ける

 個人情報保護法26条の要件に該当するかどうかは,受領者を基準に判断するとされています。そのため,提供者にとって個人データに該当しても,受領者にとって個人データに該当しない場合は,第三者提供を受けたとしても確認義務等を負わないとされています。

 個人データに該当しない個人情報の第三者提供を受けた後,その個人情報を個人情報データベース等に入力したとしても,26条の一連の義務を負いません。

 単に当該情報を閲覧しただけの場合は,提供を受ける行為があったとは言えず,確認義務は負わないとされています。

 また,口頭,FAX,メールや電話などで受領者の意思にかかわらず,一方的に個人データを提供された場合に,受領者に提供を受ける行為がない場合は,確認義務等は負いません。

個人情報保護委員会規則で定めるところにより,次に掲げる事項の確認

 第三者の氏名・住所等の確認は,当該第三者から申告を受ける方法その他の適切な方法とされています。

 個人データの取得の経緯は,当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他適切な方法をされています。

第三者による当該個人データの取得の経緯

 従前から不正に取得された個人情報と認識しながらその個人情報を取得することは不正な取得に当たると解されていました。しかし,名簿業者など不正に取得された個人情報であると疑われる場合でも取得の経緯を確認せずに個人情報を入手することで,不正に取得された個人情報だと認識していなかったことにするという運用が一般化されててきたと言われています。

 そこで,改正法により,第三者による当該個人データの取得の経緯の確認を義務付けることで,不正に取得された個人情報の取得を防止しようとしています。

当該確認に係る事項を偽ってはならない

 10万円以下の過料の罰則があります。第三者が確認に応じないだけの場合は,この義務違反ではなく,積極的に虚偽申告をすることが処罰対象になると解されています。

個人情報保護委員会規則で定める事項に関する記録を作成

 記録の作成義務を個人情報取扱事業者に課しています。これは,トレーサビリティの確保のためには,確認した事項を記録する必要があるためです。

 記録の作成は,文書,電磁的記録又はマイクロフィルムを用いて作成する方法とされています。

 記録の作成は,第三者から個人データの提供を受ける都度,速やかに作成する必要があります。当該第三者から継続的若しくは反復して個人データの提供を受けるとき,又は継続的若しくは反復して個人データの提供を受けることが確実と見込まれる場合は,一括して記録を作成できます。

記録を作成した日から個人情報保護委員会規則で定める期間保存

 本人に対する物品または役務の提供に関連して第三者から個人データの提供を受けた場合の保存期間は,最後に当該記録にかかる個人データの提供を受けた日から起算して1年を経過する日までの間です。

 上記の一括して記録を作成する場合は,最後に当該記録にかかる個人データの提供を受けた日から起算して3年を経過する日までの間です。

 その他の場合は,3年が保存期間です。