29 コンプライアンス, 法改正対応, 個人情報保護法, その他

はじめに

いよいよ明日、改正個人情報保護法が施行されます。他方で、内容についてはしっかりとした理解が進んでいないのが現状のようです。実際の業務では情報を取得する場面が多いと思いますが、今回は重要な改正内容の一つである情報の取得場面でのトレーサビリティ（追跡可能性）確保についてみていきます。

トレーサビリティ確保の大枠

トレーサビリティは追跡可能性を指します。情報の流れを追跡するために、情報の取得に際しては、取得経緯の確認、記録の作成、記録の保存を義務付けています。参照するルールとしては、個人情報保護法、規則、ガイドラインに定められているので、適宜参照するようにしましょう。（以下、「個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）」は「GL」として記載します。）

個人データ取得時の確認義務

トレーサビリティの確保には、情報の取得先・経緯などの確認、記録が必要です。そのため、まずは、個人データを取得するに際しては、一定の事項を確認しなければなりません（法26条1項）。
●確認義務が課されない場合
個人データを取得する場合でも、一定の場合には確認義務は課されません。
・例外的に本人の同意なくして第三者提供が許される場合（23条1項各号）
23条1項各号に該当する第三者提供では確認義務は課されません（法26条1項但書）。ただし、本人の同意を得て個人情報の提供を受ける場合（23条1項）、オプトアウト手続（法26条2項）による取得には確認義務が課されるので注意しましょう。
・「第三者」への提供ではなく、本人の同意が不要な場合
委託、共同利用、事業承継等の場合に個人データを提供する場合には本人の同意は必要ではありません（23条5項）。そのため、確認義務も課されません（法23条1項但書）。被提供者が「第三者」にはあたらないと評価される場合です。
・解釈上の除外事由
GL2-2では解釈により確認・記録義務が適用されない場合を例示しているので確認が必要です（GL6項以下参照）。
●確認の内容（氏名等）
個人データの取得を受ける場合には提供元の「氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名」を確認しなければなりません（法26条1項1号）。確認を行う方法としては、①提供する第三者からの申告を受ける方法、②その他適切な方法を採ることとされています（規則15条1項）。
①提供する第三者からの申告を受ける方法
「第三者から申告を受ける方法」としては、口頭で申告を受ける方法、所定の申込書等に記載させた上で当該申込書等の提出を受け入れる方法、本人確認書類の写しの送付を受け入れる方法が考えられます。GL11項が参考になります。
②その他適切な方法
登記事項を確認する方法、法人番号から確認する方法、ホームページの記載から確認する方法、民間データ業者のデータベースを確認する方法、上場会社の有価証券報告書等を確認する方法があります（GL11項）。
●確認の内容（取得経緯）
提供元がどのように個人データを取得したのかという「取得の経緯」の確認も求められます（法26条1項2号）。入手過程の適法性が疑われる場合に、個人データの利用を未然に防止するためです。
・「取得の経緯」とは
提供元の個人データ取得経緯を確認すれば足り、提供元よりさらに遡って取得経緯を確認する必要はありません。取得先の別や有償で取得したのか、公開情報から取得したのかといった取得行為の態様を「取得の経緯」として確認しておきましょう（GL13項）。
・確認方法について
確認方法は①取得経緯を示す契約書その他の書面の提示を受ける方法②その他の適切な方法をとることとされています（規則15条2項）。②について具体的な方法としては、提供元が個人データを買い取っている場合には売買契約書を確認する、提供元のホームページの記載を確認する、本人による同意書面を確認する、といったものが挙げられます（GL13項）。

記録作成義務

氏名、取得経緯等の確認を行った後は、個人データの提供を受けた年月日、当該確認に関わる事項その他の規則で定める事項を記録する必要があります。記録方法は規則で定めるところによる必要があります（法26条3項）。
●記録作成の要否
「第1項の規定による確認を行ったとき」には記録作成が求められます。そのため、記録作成義務が課されるのも、前述の確認義務が生じる場合ということになります。また、既に確認、記録作成が行われている事項については同一性確認を行うことで足ります（規則15条3項、GL14項）。
●記録作成のタイミング
基本的には提供を受けた後に速やかに作成する必要がありますが、反復・継続的に個人データを取得することが確実と見込まれるときは一括作成が許される場合があります（規則16条2項、GL15項）。
●記録媒体
記録の作成方法は、文書、電磁的記録またはマイクロフィルムを用いて作成する方法によります（規則16条1項、GL15項）。また、提供に関して作成された契約書その他の書面に必要事項が記載されている場合には、記録作成に代えることができます（16条3項、GL19項）。
●何を記録するのか？
記録すべき事項は「個人情報保護委員会規則で定める事項」です（法26条3項）。そして、これを受けて規則17条1項は、記録事項を詳細に定めています。具体的には、オプトアウト手続により取得した場合の記録事項（17条1項1号）、23条1項により本人の同意を受けて取得した場合（規則17条1項2号）、個人取扱事業者以外の第三者から個人データを取得した場合（規則17条1項3号）について記録事項を定めています。
・記録事項の省略
記録を要する事項について、同一内容を既に記録作成していた場合には、記録を省略することができます（規則17条2項、GL26項）

記録の保存義務

記録作成日から一定期間は保存義務が課されることになります（法26条4項）。保存期間は「個人情報保護委員会規則で定める期間」とされており、規則18条で定められています（GL28項参照）。

個人情報の保護に関する法律（全面施行版、PDF）
個人情報の保護に関する法律施行規則（平成28年10月５日個人情報保護委員会規則第３号）PDF
個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）

メルマガ会員登録

新着情報

セミナー
- 石黒浩氏（大阪大学　基礎工学研究科　システム創成専攻　教授 (栄誉教授)）
- 安野たかひろ氏（AIエンジニア・起業家・SF作家）
- 稲葉譲氏（稲葉総合法律事務所　代表パートナー）
- 藤原総一郎氏（長島・大野・常松法律事務所　マネージング・パートナー）
- 上野元氏（西村あさひ法律事務所・外国法共同事業　パートナー）
- 三浦亮太氏（三浦法律事務所　法人パートナー）
- 板谷隆平弁護士（MNTSQ株式会社　代表取締役/ 長島・大野・常松法律事務所　弁護士）
- 山口憲和氏（三菱電機株式会社　上席執行役員　法務・リスクマネジメント統括部長）
- 塚本洋樹氏（株式会社クボタ　法務部長）
【12/6まで配信中】MNTSQ Meeting 2024 新時代の法務力～社会変化とこれからの事業貢献とは～
終了
2024/12/06
23:59～23:59