• Home
  • 個人情報保護法に基づく、第三者提供時の記録作成・保存義務

個人情報保護法に基づく、第三者提供時の記録作成・保存義務

個人情報保護法に基づく記録作成・保存義務

改正個人情報保護法(平成29年5月30日施行)は、個人データ(*1)の第三者提供の際の記録の作成・保存義務を規定しています(個人情報保護法(以下、「法」といいます。)25、26条)。これにより、第三者に個人データを提供する個人情報取扱事業者(*2)及び第三者から個人データの提供を受ける個人情報取扱事業者は、原則として記録の作成・保存が必要になります。

*1 法第2条6項。個人情報を含む情報を指します。
*2 法第2条5項。

記録作成義務の具体的内容

後に述べる例外的な場合を除き、個人データを提供する個人情報取扱事業者及び個人データの提供を受ける個人情報取扱事業者は、個人データの第三者提供の都度、記録を作成しなければなりません。なお、記録の方法としては、文書、電磁的記録、マイクロフィルムいずれによるものでもよいとされています(個人情報の保護に関する法律施行規則、以下、「規則」という。12条1、2項、16条1、2項)。
そして、ガイドライン(*3)によれば記載すべき内容は、原則として以下の通りになります。
①個人データを第三者に提供する個人情報取扱事業者について
ⅰ.個人データを提供した年月日(法第25条1項、規則第13条1項1号イ)
→個人データを提供した年月日です。オプトアウトによる第三者提供の場合のみ記載を要します。
ⅱ.第三者を特定するに足りる事項(法第25条1項、規則第13条第1項1号ロ、2号ロ)
→提供の相手方である第三者の氏名を記載し、不特定多数の者に対して提供する場合は、その旨を記載することになります。
ⅲ.本人を特定するに足りる事項(法第25条1項、規則第13条第1項1号ハ、2号ロ)
→本人の氏名又は、個人ごとに番号、IDなどが振られている場合には、それを記載することになります。なお、ガイドラインでは、個人データ自体から本人を特定できるのであれば、当該データの保存をもってこの項目の記載に代えることができるとされています。
ⅳ.個人データの項目(法第25条1項、規則第13条第1項1号ニ、2号ロ)
→氏名、住所、電話番号、年齢、など、個人データに含まれる情報の項目を記載することになります。なお、ガイドラインでは、個人データ自体又はその写しを、この記載に代えることができるとされています。
ⅴ.本人の同意を得ている旨(法第25条1項、規則第13条第1項2号イ)
→同意を得た旨を記載する等します。ガイドラインによれば、同意があることを示すもの(契約書など)があれば、これをもってこの記載とすることができます。本人の同意による第三者提供の場合のみ記載を要します。
②個人データの提供を第三者からうける個人情報取扱事業者について
ⅰ.個人データを受けた年月日(法第26条3項、規則17条第1項1号イ、2号ロ、3号)
→個人データを受けた年月日を記載することになります。オプトアウトによる第三者提供の場合のみこの記載を要します。
ⅱ.第三者を特定するに足りる事項(法第26条3項、規則17条第1項1号ロ、2号ロ、3号)
→個人であれば氏名、会社であれば代表者又は管理人の氏名を記載することになります。
ⅲ.取得の経緯(法第26条1、3項、規則17条第1項1号ロ、2号ロ、3号)
→取得の経緯を具体的に記載するほか、確認を行った経緯を示す契約書の書面自体の保存をもってかかる記録に代えることもできます。
ⅳ.本人を特定するに足りる事項(法第26条3項、規則17条第1項1号ハ、2号ロ、3号)
→上記、第三者提供をする場合と同様です。
ⅴ.個人データの項目(法第26条3項、規則17条第1項1号ニ、2号ロ、3号)
→上記、第三者提供をする場合と同様です。
ⅵ.個人情報保護員会により公表されている旨(法第26条3項、規則17条第1項1号ホ)
→オプトアウトによる第三者提供の場合にのみ記載を要します。
ⅶ.本人の同意を得ている旨(法第26条3項、規則17条第1項2号イ)
→上記、第三者提供をする場合と同様です。本人の同意による場合のみ記載を要します。

*3 ここで参照したガイドラインは、内閣府の外局たる個人情報保護委員会が作成した「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」になります。(https://www.ppc.go.jp/files/pdf/guidelines03.pdf)

記録作成義務の例外

上記が記録作成義務の原則となりますが、すべての場合にこのような記録が要されるわけではありません。個人情報保護法上は、以下の例外が示されています。
ⅰ.条文上、義務が課される対象となっていない場合
→法令に基づく場合等、一定の場合には義務が課されないこととなっています(法25条第1項、26条第1項、23条第1項各号、5項各号)。また、解釈上「第三者」「提供」にあたらない場合にも作成義務の対象にならないことになります(*4)。したがってこの場合には、記録を作成する必要はありません。
ⅱ.第三者から反復継続して個人データを提供する場合
→オプトアウトによる第三者提供の場合を除き、第三者から反復継続して個人データを提供する場合ないし提供が確実である場合には、提供の都度記録を作成するのではなく、一括して記録を作成することができます(規則第12条2項、16条2項)。
ⅲ.個人データ提供に際して、契約書上に記録すべき事項が記載されている場合
→オプトアウトによる第三者提供の場合を除き、契約書上に上記記録すべき事項が記載されている場合、当該契約書上の記載によって記録に代えることができます(規則12条3項、16条3項)。
ⅳ.複数回にわたって同一人の個人データの授受をする場合
→すでに記録を作成している場合で、記載内容に変更がない場合、当該項目については記載を省略することができます(規則13条第2項、17条第2項、規則附則3、5条)。

*4 「第三者」にあたらないものとして、国の機関、地方公共団体等があります(法第25条1項)。また、「提供」(個人情報取扱事業者による)にあたらないものとして、本人によるSNS上への自身の個人データの公開があります。

保存義務

記録を作成した場合、この記録を一定期間保存しなければならないこととなっています。
原則は3年ですが(法25条2項、規則14条3項、法26条4項、規則18条3項)、契約書等の代替手段による場合は、最後に記録に係る個人データの提供を行った日から1年、一括して記録を作成した場合は、最後に記録に書係る個人データの提供を行った日から3年、記録を保存する必要があります(法25条2項、規則14条1、2項、法26条4項、規則18条1、2項)。

おわりに

記録作成・保存義務は、事業者にとって一定程度の負担となるものです。もっとも、ガイドライン上では、条文通りの厳格な記載に代わり、随所で代替する対処方法が示されています。これらの記載を確認し、自身にとっていかなる方法が最適かしっかり吟味することが重要です。