平成28年11月(令和5年12月一部改正)
個人情報保護委員会
[PDF版 (PDF : 283KB) | 新旧対照表 (PDF : 63KB) ]
目次
- 1本ガイドラインの位置付け
- 2確認・記録義務の適用対象
- 2-1明文により確認・記録義務が適用されない第三者提供
- 2-1-1法第27条第1項各号に掲げる場合
- 2-1-2法第27条第5項各号に掲げる場合
- 2-1-3第三者が法第16条第2項各号に掲げる者である場合
- 2-2解釈により確認・記録義務が適用されない第三者提供
- 2-2-1提供者及び受領者に確認・記録義務が適用されない場合
- 2-2-1-1「提供者」の考え方
- 2-2-1-2「受領者」の考え方
- 2-2-1-3「提供」行為の考え方
- 2-2-2受領者に確認・記録義務が適用されない場合
- 2-2-2-1法第30条の「個人データ」の該当性
- 2-2-2-2「提供を受けるに際して」
- 3確認義務(法第30条第1項・第2項、規則第22条関係)
- 3-1確認方法(法第30条第1項、規則第22条関係)
- 3-1-1第三者の氏名及び住所並びに法人にあっては、その代表者の氏名(法第30条第1項第1号、規則第22条第1項関係)
- 3-1-2第三者による個人データの取得の経緯(法第30条第1項第2号、規則第22条第2項関係)
- 3-1-3法の遵守状況
- 3-2既に確認を行った第三者に対する確認方法(規則第22条関係)
- 4記録義務(法第29条第1項、第30条第3項関係)
- 4-1記録を作成する方法など
- 4-1-1記録を作成する媒体(規則第19条第1項、第23条第1項関係)
- 4-1-2記録を作成する方法
- 4-1-2-1原則(規則第19条第2項、第23条第2項関係)
- 4-1-2-2一括して記録を作成する方法(規則第19条第2項、第23条第2項関係)
- 4-1-2-3契約書等の代替手段による方法(規則第19条第3項、第23条第3項関係)
- 4-1-3代行により記録を作成する方法
- 4-2記録事項
- 4-2-1提供者の記録事項(法第29条第1項関係)
- 4-2-1-1オプトアウトによる第三者提供をする場合(規則第20条第1項第1号関係)
- 4-2-1-2本人の同意による第三者提供をする場合(規則第20条第1項第2号関係)
- 4-2-2受領者の記録事項(法第30条第3項関係)
- 4-2-2-1オプトアウトによる第三者提供を受ける場合(規則第24条第1項第1号関係)
- 4-2-2-2本人の同意に基づき第三者提供を受ける場合(規則第24条第1項第2号関係)
- 4-2-2-3私人などから第三者提供を受ける場合(規則第24条第1項第4号関係)
- 4-2-3記録事項の省略(規則第20条第2項、第24条第2項関係)
- 4-3保存期間(法第29条第2項、第30条第4項関係)
- 5法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得する場合
- 【付録】
- 衆議院内閣委員会における附帯決議(平成27年5月20日)
- 参議院内閣委員会における附帯決議(平成27年8月27日)
- 確認・記録義務の全体図
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成15年法律第57号)
- 「政令」 個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「通則ガイドライン」個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)
- 「平成27年改正法」個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)
- 「令和2年改正法」個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)
- 「令和3年改正法」デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)
個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
1 本ガイドラインの位置付け
個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法第 4 条、第 9 条及び第 131 条に基づき具体的な指針として通則ガイドラインを定めているが、法が定める事業者の義務のうち第三者提供における確認・記録義務に関する部分に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に、本ガイドラインを定めるものである。
平成 26 年に発生した民間企業における大規模漏えい事案を契機として、いわゆる名簿業者を介在し、違法に入手された個人データが社会に流通している実態が社会に認識された。これを受けて、平成 27 年改正法により、法に、個人データの適正な第三者提供を確保するための規定が設けられた。
まず、個人情報取扱事業者が第三者から個人データの提供を受ける場合には、違法に入手された個人データが流通することを抑止するため、当該第三者が当該個人データを取得した経緯等を確認する義務を課している(法第30条)。
また、仮に個人データが不正に流通した場合でも、個人情報保護委員会が個人情報取扱事業者に対して報告徴収・立入検査を行い(法第146条)、記録を検査することによって、個人データの流通経路を事後的に特定することができるようにする必要がある。したがって、個人情報取扱事業者が第三者に個人データを提供する場合又は第三者から個人データの提供を受ける場合には、当該第三者の氏名等の記録を作成・保存しなければならない(法第29条、第30条)。
以上に加えて、オプトアウトを利用する個人情報取扱事業者の個人情報保護委員会への届出義務及び個人情報保護委員会による公表の規定も新設され(法第27条第2項から第4項まで)、これらの制度があいまって、違法に入手された個人データの流通を抑止しようとするものである。
提供者は、提供年月日・受領者の氏名等を記録(一定期間、保存)。 |
受領者は、提供者の氏名、取得経緯等を確認し、提供を受けた年月日・確認に係る事項等を記録(一定期間、保存)。 |
そのほか、次の2点を規定。
- オプトアウトによる第三者提供をする個人情報取扱事業者の個人情報保護委員会への届出義務
- 個人情報保護委員会による公表
さらに、令和2年改正法により、本人が事業者間での個人データの流通を把握し、事業者に対する権利行使を容易にすべく、第三者提供記録の開示の請求ができることとなった(法第33条第5項)。
他方、この確認・記録義務により、正常な事業活動を行っている個人情報取扱事業者に対する過度な負担を懸念する声が多く上がっていたことから、現実的な規制を構築する必要があった(衆議院内閣委員会における附帯決議(平成27年5月20日)、参議院内閣委員会における附帯決議(平成27年8月27日))。
本ガイドラインにおいては、違法に入手された個人データの流通を抑止する趣旨を踏まえつつ、事業者に対する過度な負担を回避するため、確認・記録義務の適切な運用の整理を示すものである。
まず、「2 確認・記録義務の適用対象」において、確認・記録義務が適用される対象を画定する。そして、確認・記録義務が適用される第三者提供については、「3 確認義務」「4 記録義務」に従い、確認及び記録の作成・保存を行うこととなる。
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが、法の趣旨を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。
なお、本ガイドラインにおいて使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例によるほか、次の例による。
- 「確認・記録義務」:法第30条に基づく確認義務並びに法第29条及び第30条に基づく記録義務
- 「提供者」:個人データを第三者に提供する者(本人を除き、個人情報取扱事業者以外の者を含む。)
- 「受領者」:個人データの提供を第三者から受ける者(本人を除き、個人情報取扱事業者以外の者を含む。)
2 確認・記録義務の適用対象
2-1 明文により確認・記録義務が適用されない第三者提供
次の類型の第三者提供については、明文上、確認・記録義務が適用されない。
2-1-1 法第27条第1項各号に掲げる場合
- 法第29条(第1項)
-
- 個人情報取扱事業者は、個人データを第三者(略)に提供したときは(略)記録を作成しなければならない。ただし、当該個人データの提供が第27条第1項各号(略)に該当する場合は、この限りでない。
- 法第30条(第1項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては(略)次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号(略)に該当する場合は、この限りでない。
<参考>
- 法第28条第1項
-
- 個人情報取扱事業者は、外国(略)にある第三者(略)に個人データを提供する場合には、前条第1項各号に 掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。(略)
次の(1)から(7)までに掲げる第三者提供については、個人データが転々流通することは想定されにくいことに鑑み、確認・記録義務は適用されない。
また、外国にある第三者に対して個人データを提供する際も、次の(1)から(7)までに掲げる第三者提供については、記録義務は適用されない(法第28条第1項、【外国にある第三者に個人データを提供する場合の確認・記録義務の適用】参照)。
なお、(1)から(7)までの詳細については、通則ガイドライン「3-6-1 第三者提供の制限の原則」を参照のこと。
- 法令に基づく場合(法第27条第1項第1号関係)
- 人(法人を含む。)の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第27条第1項第2号関係)
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第27条第1項第3号関係)
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第27条第1項第4号関係)
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第27条第1項第5号関係)
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)(法第27条第1項第6号関係)
- 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第27条第1項第7号関係)
2-1-2 法第27条第5項各号に掲げる場合
- 法第29条(第1項)
-
- 個人情報取扱事業者は、個人データを第三者(略)に提供したときは、(略)記録を作成しなければならない。ただし、当該個人データの提供が第27条(略)第5項各号(略)に該当する場合は、この限りでない。
- 法第30条(第1項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、(略)次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条(略)第5項各号(略)に該当する場合は、この限りでない。
次の(1)から(3)までに掲げる第三者提供については、法第27条第5項柱書において「第三者に該当しないものとする」とされていることに鑑み、確認・記録義務は適用されない。
他方、外国にある第三者に対して、次の(1)から(3)までの類型により、個人データを提供する際の記録義務の適用関係は、【外国にある第三者に個人データを提供する場合の記録義務の適用】のとおりとなる。
なお、(1)から(3)までの詳細については、通則ガイドライン「3-6-3 第三者に該当しない場合」を参照のこと。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第27条第5項第1号関係)
- 合併その他の事由による事業の承継に伴って個人データが提供される場合(法第27条第5項第2号関係)
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(法第27条第5項第3号関係)
- 【外国にある第三者に個人データを提供する場合の記録義務の適用】
- 外国にある第三者に対する個人データの提供は、次の類型ⅠからⅣまでに分けられる。各類型と記録義務の適用関係は次の<適用表>のとおりとなる。
- 類型Ⅰ:本人の「同意」(法第28条第1項)を得ている場合
- 類型Ⅱ:当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定められた国にある場合
- 類型Ⅲ:当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
- 類型Ⅳ:「2-1-1 法第27条第1項各号に掲げる場合」に該当する場合
類型の別 | 類型の別 | 記録義務の 適用の有無 |
---|---|---|
類型Ⅰ | 類型Ⅰ | 有(*1) |
類型Ⅱ又は類型Ⅲ | 「2-1-2 法第27条第5項各号に掲げる場合」に該当しない場合(*2) | 有(*1) |
類型Ⅱ又は類型Ⅲ | 「2-1-2 法第27条第5項各号に掲げる場合」に該当する場合 | 無 |
類型Ⅳ | 類型Ⅳ | 無 |
- (*1)記録義務が適用される場合の記録の作成方法、記録事項などについては、国内の第三者に個人データを提供する場合と同様に、「4 記録義務」に従うこととなる。
- (*2)具体的には、法第27条第1項柱書(「本人の同意」)又は法第27条第2項(オプトアウト)に基づき、第三者提供を行う場合である。
2-1-3 第三者が法第16条第2項各号に掲げる者である場合
- 法第29条(第1項)
-
- 個人情報取扱事業者は、個人データを第三者(第16条第2項各号に掲げる者を除く。以下この条及び次条(略)において同じ。)に提供したときは、(略)記録を作成しなければならない。
本人又は個人情報取扱事業者以外の者である「第三者」のうち、次の(1)から(4)までに掲げる者との間で個人データの授受を行う場合は、確認・記録義務は適用されない。以下、本ガイドラインにおいて「第三者」というときは、基本的に、次の(1)から(4)までに掲げる者を除くものとする。
- 国の機関(法第16条第2項第1号関係)
- 地方公共団体(法第16条第2項第2号関係)
- 独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表第1に掲げる法人(法別表第2に掲げる法人を除く。)をいう。同法第 21 条第 1 号に掲げる業務を主たる目的とするもの又は同条第 2 号若しくは第 3 号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)(法第16条第2項第3号関係)
- 地方独立行政法人(地方独立行政法人法(平成 15 年法律第 118号)第 2 条第 1 項に規定する地方独立行政法人をいう。同法第 21 条第 1 号に掲げる業務を主たる目的とするもの又は同条第 2 号若しくは第 3 号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)(法第 16 条第 2 項第 4 号関係)
2-2 解釈により確認・記録義務が適用されない第三者提供
2-2-1 提供者及び受領者に確認・記録義務が適用されない場合
形式的には第三者提供の外形を有する場合であっても、確認・記録義務の趣旨に鑑みて、実質的に確認・記録義務を課する必要性に乏しい第三者提供については、同義務の対象たる第三者提供には該当しない。
第三者提供、すなわち、「提供者」から「受領者」に対する「提供」行為については、確認・記録義務の趣旨に鑑みて、各要素の該当性を判断する。
具体的には、次の「2-2-1-1 『提供者』の考え方」から「2-2-1-3 『提供』行為の考え方」までに掲げる考え方があり得るが、各類型は互いに相反するものではなく、重複することもあり得る。また、確認・記録義務の趣旨に鑑みて、その他にも、実質的に同義務が適用されない類型があることを排除するものではない。
なお、次のいずれの類型においても、実質的に本人同意があることが前提であり、オプトアウトによる第三者提供(法第27条第2項)には、基本的には、次の考え方は当てはまらない。
2-2-1-1 「提供者」の考え方
次の「(1)本人による提供」又は「(2)本人に代わって提供」に該当する場合は、実質的に「提供者」による提供ではないものとして、確認・記録義務は適用されない。
- 本人による提供
事業者が運営するSNS等に本人が入力した内容が、自動的に個人データとして不特定多数の第三者が取得できる状態に置かれている場合は、実質的に「本人による提供」をしているものである。
したがって、個人情報取扱事業者がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者及び取得した個人情報取扱事業者の双方において、確認・記録義務は適用されない。
なお、閲覧行為と、法第30条に基づく義務との関係については、「2-2-2-2 『提供を受けるに際して』」を参照のこと。
- 【本人による提供に該当する事例】
- 事例)SNS上で、投稿者のプロフィール、投稿内容等を取得する場合
- 本人に代わって提供
個人情報取扱事業者が本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該個人情報取扱事業者は「本人に代わって」個人データの提供をしているものである。
したがって、この場合の第三者提供については、提供者・受領者のいずれに対しても確認・記録義務は適用されない。
個人情報取扱事業者が本人からの委託等に基づいて個人データを提供しているものと評価し得るか否かは、主に、委託等の内容、提供の客体である個人データの内容、提供するとき及び提供先の個人情報取扱事業者等の要素を総合的に考慮して、本人が当該提供を具体的に特定できているか否かの観点から判断することになる。
なお、本人から個人データの提供の委託等を受ける場合において、当該個人データに、「本人」以外の者の個人データが含まれる場合もあり得る。
- 【本人に代わって個人データを提供している事例】
- 事例1)本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合
- 事例2)事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
- 事例3)事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合
- 事例4)本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
- 事例5)保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に当該本人に係る情報を提供する場合
- 事例6)取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合
- 事例7)事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
- 事例8)本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
2-2-1-2 「受領者」の考え方
本人の代理人又は家族等、本人と一体と評価できる関係にある者に提供する場合、本人側に対する提供とみなし、受領者に対する提供には該当せず、確認・記録義務は適用されない。なお、常に家族であることをもって本人側と評価されるものではなく、個人データの性質、両者の関係等に鑑みて実質的に判断する必要がある。
また、提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行い、本人がそれを明確に認識できる場合は、同じく、本人側に対する提供とみなし、確認・記録義務は適用されない。
- 【本人と一体と評価できる関係にある者に提供する事例】
- 事例)金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合
- 【提供者が、最終的に本人に提供することを意図した上で、受領者を介在して提供を行う事例】
- 事例)振込依頼人の法人が、受取人の口座に振り込むため、個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行に提供する場合
2-2-1-3 「提供」行為の考え方
不特定多数の者が取得できる公開情報は、本来であれば受領者も自ら取得できる情報であり、それをあえて提供者から受領者に提供する行為は、受領者による取得行為を提供者が代行しているものであることから、実質的に確認・記録義務を課すべき第三者提供には該当せず、同義務は適用されない。
例えば、ホームページ等で公表されている情報、報道機関により報道されている情報などが該当する。他方、特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
なお、当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない(規則第20条第1項第1号ロ括弧書き)。
また、いわゆる公開情報であっても、「個人情報」(法第2条第1項)に該当するため、法第4章第2節のうち、確認・記録義務以外の規定は適用されることには留意する必要がある(通則ガイドライン「2-1 個人情報」参照)。
2-2-2 受領者に確認・記録義務が適用されない場合
2-2-2-1 法第30条の「個人データ」の該当性
法第30条は、「個人データ」の提供を受ける際に適用される義務であるところ、「個人情報」には該当するが「個人データ」には該当しない情報の場合、又は、そもそも「個人情報」に該当しない情報の提供を受けた場合は、同条の義務は適用されない。
- 受領者にとって「個人データ」に該当しない場合
- マル1 判断主体
法第30条の要件の該当性は、同条の名宛人である受領者を基準に判断する必要があるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
したがって、例えば、個人情報取扱事業者の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の個人情報取扱事業者の営業担当者に渡す場合、受領した側の個人情報取扱事業者は確認・記録義務を負わない。
なお、本来であれば個人データに該当するにもかかわらず、確認・記録義務を免れる目的のために、あえて分断して形式的に「個人データには該当しない個人情報」として提供を受ける行為は、法の潜脱であり、確認・記録義務を免れることはできない。
- マル2 判断時点
個人データには該当しない個人情報として提供を受けた場合、仮に、後に当該個人情報を個人情報データベース等に入力する等したときにおいても、法第30条の確認・記録義務は適用されない。
なお、受領後、受領者が当該個人情報を自己のデータベースに入力した場合には、入力時点から個人情報データベース等を構成する個人データに該当することとなり、法第22条から法第39条までの規定(法第30条及び第31条(※1)を除く。)が適用されることに留意する必要がある。(※2)
- (※1)法第31条は、個人関連情報の第三者提供に関する規定であるため、個人データに該当することとなった場合でも適用されない。
- (※2)法第23条に定める「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。また、法第26条に関し、規則第7条第3号関係に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれる。
- マル3 マル1マル2を踏まえ、受領者たる個人情報取扱事業者に対しては、提供を受ける時点において、個人データに該当する場合に、確認・記録義務が適用される。
- マル1 判断主体
- 受領者にとって「個人情報」に該当しない場合
次の事例のように、提供者にとって個人データに該当する場合であっても、受領者にとっては「個人情報」に該当しない(当然に個人データにも該当しない。)情報を受領した場合は、法第30条の確認・記録義務は適用されない。
- 【受領者にとって個人情報に該当しない事例】
- 事例1)提供者が氏名を削除するなどして個人を特定できないようにしたデータの提供を受けた場合
- 事例2)提供者で管理しているID番号のみが付されたデータの提供を受けた場合
2-2-2-2 「提供を受けるに際して」
法第30条の確認・記録義務は、受領者にとって、「第三者から個人データの提供を受ける」行為がある場合に適用されるため、単に閲覧する行為については、「提供を受ける」行為があるとは言えず、法第30条の義務は適用されない。
なお、提供者たる個人情報取扱事業者が、個人データを第三者が利用可能な状態に置く行為は、提供行為に該当する。
また、口頭、FAX、メール、電話等で、受領者の意思とは関係なく、一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないときは、法第30条の確認・記録義務は適用されない。
3 確認義務(法第30条第1項・第2項、規則第22条関係)
3-1 確認方法(法第30条第1項、規則第22条関係)
個人情報取扱事業者は、第三者から個人データの提供を受ける際は、当該第三者に対して、次のとおり確認を行わなければならない。この際、当該第三者は当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない(法第30条第2項。同項に違反した場合には法第180条により10万円以下の過料)。
3-1-1 第三者の氏名及び住所並びに法人にあっては、その代表者の氏名(法第30条第1項第1号、規則第22条第1項関係)
- 法第30条(第1項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
- 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
- 規則第22条(第1項)
-
- 法第30条第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
- 【第三者から申告を受ける方法に該当する事例】
- 事例1)口頭で申告を受ける方法
- 事例2)所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法
- 事例3)本人確認書類の写しの送付を受け入れる方法
- 【その他の適切な方法に該当する事例】
- 事例1)登記されている事項を確認する方法(受領者が自ら登記事項証明書・登記情報提供サービスで当該第三者の名称・住所・代表者の氏名を確認する方法)
- 事例2)法人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第15項に規定する法人番号をいう。)の提示を受けて、当該法人の名称、住所を確認する方法
- 事例3)当該第三者が自社のホームページなどで名称、住所、代表者の氏名を公開している場合において、その内容を確認する方法
- 事例4)信頼性のおける民間のデータ業者のデータベースを確認する方法
- 事例5)上場会社等の有価証券報告書等を確認する方法
3-1-2 第三者による個人データの取得の経緯(法第30条第1項第2号、規則第22条第2項関係)
- 法第30条(第1項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
- (略)
- 当該第三者による当該個人データの取得の経緯
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
- 規則第22条(第2項)
-
- 法第30条第1項の規定による同項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
個人情報取扱事業者は、第三者から個人データの提供を受ける際は、当該第三者による当該個人データの「取得の経緯」を確認しなければならない。
「取得の経緯」を確認する趣旨としては、提供を受けようとする個人データが適法に入手されたものではないと疑われる場合に、当該個人データの利用・流通を未然に防止する点にある。
仮に、適法に入手されたものではないと疑われるにもかかわらず、あえて個人データの提供を受けた場合には、法第20条第1項の規定違反と判断される可能性がある。
「取得の経緯」の具体的な内容は、個人データの内容、第三者提供の態様などにより異なり得るが、基本的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければならない。
なお、あくまで、個人データを提供した「第三者」による取得の経緯を確認すれば足り、そこから遡って当該「第三者」より前に取得した者の取得の経緯を確認する義務はない。
- 【適切な方法に該当する事例】
- 事例1)提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法
- 事例2)提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
- 事例3)提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法
- 事例4)提供者が本人の同意を得ていることを誓約する書面を受け入れる方法
- 事例5)提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法
- 事例6)本人による同意書面を確認する方法
3-1-3 法の遵守状況
受領者は、個人情報取扱事業者から個人データの提供を受ける際には、当該個人情報取扱事業者の法の遵守状況(例えば、利用目的、開示手続、問合せ・苦情の受付窓口の公表など)についても確認することが望ましい。特に、個人情報取扱事業者からオプトアウトによる第三者提供により個人データの提供を受ける際には、受領者は、当該個人情報取扱事業者の届出事項が個人情報保護委員会により公表されている旨を記録しなければならないことに留意する必要がある(「4-2-2 受領者の記録事項」参照)。
提供者である個人情報取扱事業者の法の遵守状況を確認した結果、提供される個人データが適法に入手されたものではないと疑われるにもかかわらず、当該個人データの提供を受けた場合には、法第20条第1項の規定違反と判断されるおそれがある。
3-2 既に確認を行った第三者に対する確認方法(規則第22条関係)
- 規則第22条(第3項)
-
- 前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第30条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
- 平成27年改正法規則附則第4条
- 法第26条第1項各号に規定する事項のうち、施行日前に第15条に規定する方法に相当する方法で確認(当該確認について第16条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、第15条第3項を適用することができる。この場合において、同項中「前二項に規定する方法」とあるのは「前二項に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第50条改正関係)附則第5条
- 別表第二法人等において、法第30条第1項各号に規定する事項のうち、施行日前に新規則第22条に規定する方法に相当する方法で確認(当該確認について新規則第23条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、新規則第22条第3項を適用することができる。この場合において、同項中「前ニ項に規定する方法」とあるのは「前ニ項に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第51条改正関係)附則第5条
- 特定地方独立行政法人等において、新個人情報保護法第30条第1項各号に規定する事項のうち、施行日前に新規則第22条に規定する方法に相当する方法で確認(当該確認について新規則第23条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、新規則第22条第3項を適用することができる。この場合において、同項中「前二項に規定する方法」とあるのは「前二項に規定する方法に相当する方法」と読み替えるものとする。
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して確認する合理性はないため、既に規則第22条に規定する方法(「3-1-1 第三者の氏名及び住所並びに法人にあっては、その代表者の氏名」「3-1-2 当該第三者による当該個人データの取得の経緯」)により確認を行い、「4 記録義務」に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。
平成27年改正法のの施行日(平成29年5月30日)の前に上記に規定する方法に相当する方法で作成した記録、令和3年改正法の改正法第50条の規定の施行日(令和4年4月1日)の前に別表第二法人等(法別表第2に掲げる法人、法第58条第2項の規定により個人情報取扱事業者、仮名加工情報取扱事業者若しくは個人関連情報取扱事業者とみなされる独立行政法人労働者健康安全機構又は学術研究機関等である個人情報取扱事業者をいう。以下同じ。)及び令和3年改正法第51条の規定の施行日(令和5年4月1日)前に特定地方独立行政法人等(法第58条第1項第2号に掲げる者又は同条第2項の規定により個人情報取扱事業者、仮名加工情報取扱事業者若しくは個人関連情報取扱事業者とみなされる法第58条第2項第1号に掲げる者をいう。以下同じ。)が上記に規定する方法に相当する方法で作成した記録についても同様とする。
例えば、個人情報取扱事業者が、同じ提供者から、既に確認・記録義務を履行した、特定の事業活動であることを認識しながら、個人データの提供を受ける場合は、提供者の名称、当該個人データの取得の経緯について「同一であることの確認」が行われているものである。
4 記録義務(法第29条第1項、第30条第3項関係)
4-1 記録を作成する方法など
- 法第29条(第1項)
-
- 個人情報取扱事業者は、個人データを第三者(略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。(略)
- 法第30条(第3項)
-
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4-1-1 記録を作成する媒体(規則第19条第1項、第23条第1項関係)
- 規則第19条(第1項)
-
- 法第29条第1項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
- 規則第23条(第1項)
-
- 法第30条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
個人情報取扱事業者は、記録を、文書、電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。以下同じ。法第2条第1項第1号参照)又はマイクロフィルムを用いて作成しなければならない。
4-1-2 記録を作成する方法
4-1-2-1 原則(規則第19条第2項、第23条第2項関係)
- 規則第19条(第2項)
-
- 法第29条第1項の記録は、個人データを第三者(略)に提供した都度、速やかに作成しなければならない。(略)
- 規則第23条(第2項)
-
- 法第30条第3項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。(略)
個人情報取扱事業者は、原則として、個人データの授受の都度、速やかに、記録を作成しなければならない。
なお、個人データを授受する前に記録を作成することもできる。
本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできる。
オプトアウトによる第三者提供については、「4-1-2-2 一括して記録を作成する方法」、「4-1-2-3 契約書等の代替手段による方法」は適用されないため、常に上述の原則に従い記録を作成しなければならない。
4-1-2-2 一括して記録を作成する方法(規則第19条第2項、第23条第2項関係)
- 規則第19条(第2項)
-
- (略)当該第三者に対し個人データを継続的に若しくは反復して提供(法第27条第2項の規定による提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
- 規則第23条(第2項)
-
- (略)当該第三者から継続的に若しくは反復して個人データの提供(法第27条第2項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。
なお、オプトアウトによる第三者提供については対象外である。
本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできる。
なお、複数の本人の記録を一体として記録を作成する場合において、継続的に又は反復して個人データを授受する対象期間内に、データ群を構成する本人が途中で変動するときも、一括して記録を作成することもできる。
- 【一括して記録を作成する方法に該当する事例】
- 事例1)最初の授受の際に一旦記録を作成した上で、継続的に又は反復して個人データを授受する対象期間内に、随時、追加の記録事項を作成する方法
- 事例2)継続的に又は反復して個人データを授受提供する対象期間内に、月ごとに記録を作成する方法
- 事例3)継続的に又は反復して個人データを授受提供する対象期間の終了後、速やかに記録を作成する方法
「確実であると見込まれるとき」の例としては、継続的に又は反復して個人データを授受することを内容とする基本契約を締結することで、以後、継続的に又は反復して個人データを提供することが確実であると見込まれる場合などが該当する。この場合は、当該基本契約に係る契約書をもって記録とすることができる。
「一括して記録を作成する方法」は、例外としての記録作成方法であることに鑑みて、その対象期間、対象範囲等を明確にすることが望ましい。
4-1-2-3 契約書等の代替手段による方法(規則第19条第3項、第23条第3項関係)
- 規則第19条(第3項)
-
- 前項の規定にかかわらず、法第27条第1項又は法第28条第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第29条第1項の当該事項に関する記録に代えることができる。
- 規則第23条(第3項)
-
- 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第30条第3項の当該事項に関する記録に代えることができる。
個人情報取扱事業者が、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、契約の締結の相手方を本人とする個人データを当該個人情報取扱事業者から第三者に提供する場合は、当該提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であることから、当該契約書その他の書面をもって記録とすることができる。
なお、オプトアウトによる第三者提供については対象外である。
本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできる。
仮に、規則第19条第3項又は規則第23条第3項の要件を充たさない書面、又はオプトアウトによる第三者提供の際に作成された書面等も、記録事項が記載されていれば記録として認められるが、保存期間の違いに留意する必要がある(「4-3 保存期間」参照)。
- (1)「本人に対する物品又は役務の提供」
- 提供者若しくは受領者又は提供者及び受領者の双方が「本人に対する物品又は役務の提供」の主体となる場合を含む。
- 【提供者及び受領者の双方が主体となる事例】
- 事例)グループ企業が親会社と子会社が共同で役務を提供する際に、親会社・子会社間で情報連携を行うことについての承諾する旨の同意書
また、「本人に対する物品又は役務の提供」には、契約を根拠とする場合のほか、法令を根拠とする場合を含む。
- 【法令を根拠とした本人に対する物品又は役務の提供に該当する事例】
- 事例)自動車の運行による事故の被害者から、自動車損害賠償保障法(昭和30年法律第97号)を根拠として、加害者の自動車保有者と自動車損害賠償責任保険契約(いわゆる自賠責保険)を締結している保険会社に対して直接請求権(被害者請求権)が発生し、当該請求権の履行として当該保険会社が被害者が診療を受ける病院に診療費を支払う際に、病院との間で被害者の個人データ(診断書など)を授受する場合
- (2)「当該提供に関して作成された(契約書その他の書面)」
- 複数の書面を合わせて一つの記録とすることは妨げられない。
個人データを第三者提供する際に作成された契約書その他の書面のほか、当該個人データの内容を構成する契約書その他の書面も、「当該提供に関して作成された」ものに該当する。
例えば、「個人データの内容を構成する契約書その他の書面」により「本人の氏名その他の当該本人を特定するに足りる事項」及び「当該個人データの項目」の記録を作成した場合には、それ以外の事項については別の「契約書その他の書面」により記録を作成することとなる。- 【個人データの内容を構成する契約書その他の書面の事例】
- 事例)事業者が本人を債務者とする金銭債権を第三者に債権譲渡する際の金銭債権に係る契約書
- (3)「契約書その他の書面」
- 本人と提供者との間で作成した契約書のみならず、提供者と受領者との間で作成した契約書も、含まれる。
「契約書」の他にも、「その他の書面」には、個人情報取扱事業者の内部で作成された帳票、記録簿等も含まれる。
また、「契約書その他の書面」は電磁的記録を含むため(規則第11条第3項参照)、システム上の記録等も「契約書その他の書面」に該当する。
4-1-3 代行により記録を作成する方法
提供者・受領者のいずれも記録の作成方法・保存期間は同一であることに鑑みて、提供者(又は受領者)は受領者(又は提供者)の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければならない。
また、委託先の個人情報取扱事業者が委託契約の目的の範囲内で第三者との間で個人データの授受を行った場合において、一義的には委託先の個人情報取扱事業者が記録を作成する義務があるが、委託元の個人情報取扱事業者が記録の作成を代行することができる。
4-2 記録事項
4-2-1 提供者の記録事項(法第29条第1項関係)
- 法第29条(第1項)
-
- 個人情報取扱事業者は、個人データを第三者(略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。(略)
4-2-1-1 オプトアウトによる第三者提供をする場合(規則第20条第1項第1号関係)
- 規則第20条(第1項)
-
- 法第29条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 法第27条第2項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
- イ 当該個人データを提供した年月日
- ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第28条第1項第3号において同じ。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
- ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ニ 当該個人データの項目
- 法第27条第2項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
- 法第29条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
個人情報取扱事業者が、オプトアウトによる個人データの第三者提供を行う場合は、次の項目を記録しなければならない。
- 「当該個人データを提供した年月日」
- 「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第28条第1項第3号において同じ。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)」
- 【不特定かつ多数の者に対して提供している事例】
- 事例1)個人データをインターネット上に公開し、不特定多数の者が閲覧できる状態に置いている場合
- 事例2)住宅地図を市販する場合
- 「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
- 【その他の当該本人を特定するに足りる事項に該当する事例】
- 事例)本人ごとに番号・IDなどを付して個人データの管理をしている場合において、当該番号・IDなどにより本人を特定できるときの当該番号・ID
実際に提供した個人データ自体に「本人の氏名その他の当該本人を特定するに足りる事項」が含まれている場合には、当該個人データ自体を保存することをもって「本人の氏名その他の当該本人を特定するに足りる事項」を記録したものとすることもできる。
なお、例えば「当社が有する全ての個人情報に係る本人」等の記載では、「当該本人を特定するに足りる」ものではないと解される。
- 「当該個人データの項目」
- 事例1)氏名、住所、電話番号、年齢
- 事例2)氏名、商品購入履歴
実際に提供した個人データ自体又はその写し等を、「当該個人データの項目」の記録とすることもできる。
なお、例えば「当社が有するいずれかの情報」等の記載では、「当該個人データの項目」には該当しないものと解される。
4-2-1-2 本人の同意による第三者提供をする場合(規則第20条第1項第2号関係)
- 規則第20条(第1項)
-
- 法第29条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- (略)
- 法第27条第1項又は法第28条第1項の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
- イ 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
- ロ 前号ロからニまでに掲げる事項
- 法第29条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
個人情報取扱事業者が、本人の同意に基づき個人データの第三者提供を行う場合は、次の項目を記録しなければならない。
- 「法第27条第1項又は法第28条第1項の本人の同意を得ている旨」
典型例として、契約書その他の書面に本人の同意が記載されている場合が該当する。
そのほか、個人情報取扱事業者の事業の内容、第三者提供の態様等に鑑みて、同意の存在を明示的に又は黙示的に示す証跡等がある場合には、当該証跡等をもって「同意を得ている旨」の記録とすることもできる。
例えば、個人情報取扱事業者のシステムの設定により、本人の同意を得た場合のみ第三者提供が実施されることとなっている場合には、それをもって同意の存在を示す証跡があるものとすることができる。
- 「当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)」
「4-2-1-1 オプトアウトによる第三者提供(2)」を参照のこと。
- 「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
「4-2-1-1 オプトアウトによる第三者提供(3)」を参照のこと。
- 「当該個人データの項目」
「4-2-1-1 オプトアウトによる第三者提供(4)」を参照のこと。
提供年月日 | 第三者の氏名等 | 本人の氏名等 | 個人データの項目 | 本人の同意 | |
---|---|---|---|---|---|
オプトアウトによる 第三者提供 |
○ | ○ | ○ | ○ | |
本人の同意による 第三者提供 |
○ | ○ | ○ | ○ |
4-2-2 受領者の記録事項(法第30条第3項関係)
- 法第30条(第3項)
-
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4-2-2-1 オプトアウトによる第三者提供を受ける場合(規則第24条第1項第1号関係)
- 規則第24条(第1項)
-
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 個人情報取扱事業者から法第27条第2項の規定による個人データの提供を受けた場合 次のイからホまでに掲げる事項
- イ 個人データの提供を受けた年月日
- ロ 法第30条第1項各号に掲げる事項
- ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ニ 当該個人データの項目
- ホ 法第27条第4項の規定により公表されている旨
- 個人情報取扱事業者から法第27条第2項の規定による個人データの提供を受けた場合 次のイからホまでに掲げる事項
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
個人情報取扱事業者が、オプトアウトによる個人データの第三者提供を受ける場合は、次の項目を記録しなければならない。
- 「当該個人データを受けた年月日」
- 「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」
「法第30条第1項各号に掲げる事項」として、同項第1号の「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」を記録しなければならない。 - 「当該第三者による当該個人データの取得の経緯」
「法第30条第1項各号に掲げる事項」として、同項第2号の「当該第三者による当該個人データの取得の経緯」を記録しなければならない。
「取得の経緯」の詳細については、「3-1-2 第三者による個人データの取得の経緯」を参照のこと。
具体的には、法第30条第1項に基づき確認した取得の経緯の具体的内容を記録する方法のほか、確認を行った取得の経緯を示す契約書その他の書面自体を保存する方法等がある。 - 「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
「4-2-1-1 オプトアウトによる第三者提供(3)」を参照のこと。 - 「当該個人データの項目」
「4-2-1-1 オプトアウトによる第三者提供(4)」を参照のこと。 - 「個人情報保護委員会により公表されている旨」
個人情報保護委員会により公表されていない個人情報取扱事業者からオプトアウトにより個人データの提供を受けた場合は、不正の手段による取得(法第20条第1項)に該当するおそれがある。
4-2-2-2 本人の同意に基づき第三者提供を受ける場合(規則第24条第1項第2号関係)
- 規則第24条(第1項)
-
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- (略)
- 個人情報取扱事業者から法第27条第1項又は法第28条第1項の規定による個人データの提供を受けた場合 次のイ及びロに掲げる事項
- イ 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
- ロ 前号ロからニまでに掲げる事項
- (略)
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
個人情報取扱事業者が、本人の同意に基づき個人データの第三者提供を受ける場合は、次の項目を記録しなければならない。
- 「法第27条第1項又は法第28条第1項の本人の同意を得ている旨」
「4-2-1-2 本人の同意による第三者提供(1)」を参照のこと。 - 「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」
「4-2-2-1 オプトアウトによる第三者提供を受ける場合(2)」を参照のこと。 - 「当該第三者による当該個人データの取得の経緯」
「4-2-2-1 オプトアウトによる第三者提供を受ける場合(3)」を参照のこと。 - 「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
「4-2-1-1 オプトアウトによる第三者提供(3)」を参照のこと。 - 「当該個人データの項目」
「4-2-1-1 オプトアウトによる第三者提供(4)」を参照のこと。
4-2-2-3 私人などから第三者提供を受ける場合(規則第24条第1項第4号関係)
- 規則第24条(第1項)
-
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- (1)~(3) (略)
- (4) 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合 第1号ロからニまでに掲げる事項
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
個人情報取扱事業者が、他の個人情報取扱事業者又は法第16条第2項各号に掲げる者(「2-1-3 第三者が法第16条第2項各号に掲げる者である場合」参照)以外の者から、個人データの提供を受ける場合は、次の項目を記録しなければならない。
- 「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」
「4-2-2-1 オプトアウトによる第三者提供を受ける場合(2)」を参照のこと。
- 「当該第三者による当該個人データの取得の経緯」
「4-2-2-1 オプトアウトによる第三者提供を受ける場合(3)」を参照のこと。
- 「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
「4-2-1-1 オプトアウトによる第三者提供をする場合(3)」を参照のこと。
- 「当該個人データの項目」
「4-2-1-1 オプトアウトによる第三者提供をする場合(4)」を参照のこと。
提供を受けた年月日 | 第三者の氏名等 | 取得の経緯 | 本人の氏名等 | 個人データの項目 | 個人情報保護委員会による公表 | 本人の同意等 | |
---|---|---|---|---|---|---|---|
オプトアウトによる 第三者提供 |
○ | ○ | ○ | ○ | ○ | ○ | |
本人の同意による 第三者提供 |
○ | ○ | ○ | ○ | ○ | ||
私人などからの 第三者提供 |
○ | ○ | ○ | ○ |
4-2-3 記録事項の省略(規則第20条第2項、第24条第2項関係)
- 規則第20条(第2項)
-
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第29条第1項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
- 規則第24条(第2項)
-
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第30条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
- 平成27年改正法規則附則第3条
- 第13条第1項に規定する事項のうち、施行日前に第12条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、第13条第2項の規定を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
- 平成27年改正法規則附則第5条
- 第17条第1項に規定する事項のうち、施行日前に第16条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、第17条第2項を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第 50 条改正関係)附則第4条
- 別表第二法人等(法別表第2に掲げる法人、法第58条第2項の規定により法第16条第2項に規定する個人情報取扱事業者、同条第5項に規定する仮名加工情報取扱事業者若しくは同条第7項に規定する個人関連情報取扱事業者とみなされる独立行政法人労働者健康安全機構又は同条第8項に規定する学術研究機関等である同条第2項に規定する個人情報取扱事業者をいう。以下同じ。)において、新規則第20条第1項に規定する事項のうち、施行日前に新規則第19条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、新規則第20条第2項の規定を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第 50 条改正関係)附則第6条
- 別表第二法人等において、新規則第24条第1項(同項第3号を除く。)に規定する事項のうち、施行日前に新規則第23条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、新規則第24条第2項を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第51条改正関係)附則第4条
- 特定地方独立行政法人等(整備法第51条の規定による改正後の個人情報の保護に関する法律(以下「新個人情報保護法」という。)第58条第1項第2号に掲げる者又は同条第2項の規定により新個人情報保護法第16条第2項に規定する個人情報取扱事業者、同条第5項に規定する仮名加工情報取扱事業者若しくは同条第7項に規定する個人関連情報取扱事業者とみなされる新個人情報保護法第58条第2項第1号に掲げる者をいう。以下同じ。)において、新規則第20条第1項に規定する事項のうち、施行日前に新規則第19条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、新規則第20条第2項の規定を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第51条改正関係)附則第6条
- 特定地方独立行政法人等において、新規則第24条第1項に規定する事項のうち、施行日前に新規則第23条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、新規則第24条第2項を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して記録する必要はないことから、その旨を明確にするものである。すなわち、既に「4 記録義務」に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
平成27年改正法の施行日(平成29年5月30日)の前に上記に規定する方法に相当する方法で作成した記録、令和3年改正法第50条の規定の施行日(令和4年4月1日)の前に別表第二法人等(3-2(既に確認を行った第三者に対する確認方法)参照)が上記に規定する方法に相当する方法で作成した記録及び令和3年改正法第51条の規定の施行日(令和5年4月1日)前に特定地方独立行政法人等(3-2(既に確認を行った第三者に対する確認方法)参照)が上記に規定する方法に相当する方法で作成した記録についても同様とする。
記録事項の内容は同一でなければならないため、例えば、同一法人であっても、代表者が交代し、その後に記録を作成する場面では、改めて、新代表者の氏名について記録をしなければならない。
なお、記録事項のうち、一部の事項の記録の作成を規則第20条第2項又は規則第24条第2項に基づき省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点は、残りの事項を作成した時点とする。保存期間については、「4-3 保存期間」を参照のこと。
4-3 保存期間(法第29条第2項、第30条第4項関係)
- 法第29条(第2項)
-
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第21条
- 法第29条第2項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 第19条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
- 第19条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
- 前二号以外の場合 3年
- 法第30条(第4項)
-
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第25条
- 法第30条第4項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 第23条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
- 第23条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
- 前二号以外の場合 3年
個人情報取扱事業者は、作成した記録を規則で定める期間保存しなければならない。
保存期間は記録の作成方法によって異なる。具体的には、次の表のとおりである。
なお、対象となる複数の本人の記録を一体として作成した場合には、保存期間は各記録ごとに異なることがある。
記録の作成方法の別 | 保存期間 |
---|---|
「4-1-2-3 契約書等の代替手段による方法」により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
「4-1-2-2 一括して記録を作成する方法」により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
上述以外の場合 | 3年 |
5 法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得する場合
個人情報取扱事業者は、法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得する場合(法第27条第1項各号に掲げる場合を除く。)は、法第30条第1項及び第3項の確認・記録義務の適用を受ける。かかる確認・記録義務については、通則ガイドライン「3-7-5提供先の第三者における確認義務」「3-7-6提供先の第三者における記録義務」を参照のこと。
【付録】
- ○衆議院内閣委員会における附帯決議(平成27年5月20日)
- 1~3 (略)
- 4 第三者提供に係る記録の作成等の義務については、その目的と実効性を確保しつつ、事業者に過度な負担とならないように十分に配慮するとともに、悪質な事業者への対策については一般の事業者に過度な負担とならないよう実態調査を行った上で、有効な措置を講ずること。
(以下省略) - ○参議院内閣委員会における附帯決議(平成27年8月27日)
- 1~3 (略)
- 4 第三者提供に係る記録の作成等の義務については、その目的と実効性を確保しつつ、事業者に過度な負担とならないよう十分に配慮すること。
(以下省略)