目次
個人情報保護法における「第三者提供」に新たな義務が課される
個人情報保護法が、2017年5月30日に改正されました。
その中で、個人情報を「第三者に提供する側」「第三者から提供を受ける側」の両事業者について、以下のように義務が課さられるようになりました。
一定の事項を記録し、それを一定期間保存する義務
後述するように、事業者としては、個人情報の「第三者提供」に該当すると、非常に面倒な義務です。
個人情報の「委託」に該当すると
上記のように、個人情報を第三者に提供する場合に、法律上の「第三者提供」に当たると、記録義務が発生します。
しかし、自社の個人情報を第三者に提供する場合でも「委託」に当たる場合には、上記のような記録義務はありません。
そこで、自社の個人情報を、自社以外の第三者に渡す場合に、「第三者提供」と「委託」の区別が問題となるのです。
「第三者提供」とは
法律上の「第三者提供」とは、自社の個人情報を第三者に渡し、受け取った第三者は、その個人情報を自由に使える状態にある場合を言います。
つまり、受領者は、受け取った情報については、自由にできるのが、法律上の「第三者提供」になります。
「委託」とは
第三者提供に対し「委託」とは、自社の業務の一部を第三者に代わりに行ってもらうために、個人情報を提供する場合です。
業務委託契約をイメージしてもらうと、分かりやすいかと思います。
よくあるのが、税理士事務所や社労士事務所に対して、自社の税務上の処理や給与計算などを行ってもらうために、個人情報を提供する場合がこれに当たります。
「委託」に当たると、どうなる
上記のうち「委託」の場合は「第三者提供」のような個人情報の記録義務は発生しませんが、委託先を監督する必要があります。
個人情報保護法22条では「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」とあります。
適切な委託先の選定と個人データ取扱状況の把握
委託先に、法令を遵守している事業者を選ばなければなりません。
個人情報に関する委託先の安全管理措置が、法令に則ったものかを確認し、委託先における委託された個人データの取扱状況を委託元が合理的に把握することが求められています。
個人情報を第三者に提供する側の記録義務
個人情報を第三者に提供する側は、以下の事項を記録する必要があります。
- 個人データを提供した年月日
- 第三者の氏名又は名称など、第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 本人の氏名など、本人を特定するに足りる事項
- 個人データの項目 →住所、氏名、電話番号、購入履歴など、提供される個人データの種類など
個人情報を第三者から提供を受ける側の記録義務
改正法では、個人情報の提供を受ける側も、以下の事項を記録をしなければならないとされています。
- 提供者が本人の同意を得ている旨
- 提供者の氏名又は名称
- 提供者の住所
- 提供者が法人である場合は、その代表者の氏名
- 提供者による個人データ取得の経緯
- 本人の氏名など、本人を特定するに足りる事項
- 個人データの項目
特に「提供者による個人データ取得の経緯」については、提供者から、どのように個人情報を取得したのか確認し、記録する必要があります。
「第三者提供」と「委託」 それぞれの義務を果たすことが重要
「第三者提供」でも「委託」でも、個人情報を渡す側は、個人情報保護法上の義務を負います。 この法的義務を、しっかりと守るようにしましょう。
