すでに解説したとおり、個人データを第三者に提供するためにはあらかじめ本人の同意を得る必要があり、これを「オプトイン」といいましたね。オプトインの場合には、というスタンスになっていました。これに対し、オプトインの原則と例外を反対にしたスタンスとして「「オプトアウトの場合には、というスタンスなわけです。具体的には、個人データを第三者提供すること(+それが嫌ならすみやかに個人データの提供を中止するよう求める必要があること)を前もって本人に通知するか、本人が簡単に知ることができる状態にしておき、本人がこれに反対しない限り同意したものとみなして第三者提供を認める仕組みとなっています。ただし、今までのオプトアウトの制度では、「そのため、この曖昧さを利用した悪質な業者は、実際には本人が簡単に気づけないような方法で第三者提供をすることを通知するなど、姑息なことをして、その後「オプトアウトによって第三者提供をするときの要件は、以下の2点になります。 ①の「あらかじめ」とは、個人データが第三者提供される前にこれの停止を求めることができる程度の期間をいいます。②の「本人が簡単に知ることができる状態」とは、以下のような場合があります。また、今までのオプトアウト制度の問題点であった「本人が簡単に知ることができる状態にすること」について、以下のような具体的な方法が明示されました。ⅱ)の「所定の事項」とは、上の②で挙げた5つをさします。③で届出られた内容については、事業者名と一緒に個人情報保護委員会のホームページなどで第三者提供の要件については個人情報保護委員会の「次に、企業が実際に個人データを第三者提供するときの、個人データの取り扱い方・ルールについて説明します。まず、第三者提供に関しては、「トレーサビリティの視点を導入した背景には、不正に持ち出された個人情報が複数の名簿業者に売られ、そこからまた転々と個人情報が流出してしまった今までの制度では、第三者提供をする場合に、個人データの取得元を明かす必要はなく、受け取る側もそれが適正な方法で取得されたものかを確認する必要はありませんでした。そのため、個人データが流出してしまっても何故そうなってしまったのか、どこから流出してしまったのかを明らかにすることとても困難でした。このような事情もあり、個人情報の流通を防ぎつつ、仮に不正に流出してしまった場合に個人情報がどのような経路をたどったのかをたどることができるように、トレーサビリティを確保する制度ができたのです。以下では、個人データを個人データを提供する事業者は、その個人データを提供した年月日や提供先の氏名などの一定の事項に関する記録しなければならない事項は以下のとおりです。これらの記録を残しておくことで、もし個人データが流出してしまった場合でも記録を調べることで個人データの流通経路を簡単にたどることができるようになり、情報の漏えい元や流出先を特定しやすくなりました。記録は、文書かデータ、マイクロフィルムのどれかで作成します。また、トレーサビリティを確実に確保するため、個人データを受け取る側から提供元の身元や個人データ取得の経緯について確認を求められた場合には、ウソをついたりごまかしたりしてはいけません。個人データを受け取る側は、まず、以下の点について不正に取得された個人データと知りながらそれを取得した場合、情報を受取った側も個人情報保護法違反となってしまいます。そのため、受領者がこれらの項目を確認することによって、もし不正に取得された個人データだった場合には、受領者としてはそれを受取らないはずなので、個人データが転々と流出するのを防ぐことができます。次に、提供する側と同じように、個人データを受け取る側も一定の事項について記録する事項は以下のとおりです。※個人情報保護委員会から公表されていない事業者からオプトアウトによって個人データの提供を受けると、不正な取得になる可能性があります。 個人情報の第三者提供の制限について2017年の法改正で追加された第三者提供に関する義務第三者提供に関する記録・確認義務が生じないケースなどについて解説していきます。 第三者提供の有無 ※ 第三者提供を行わないことを明記する。今後第三者提供を行う場合は、利用者から同意 を得て実施することを明記することが望ましい。 また、利用目的の必要な範囲内において、他の事業者へ個人情報を委託する場合、委 例外はおなじみの4つ、 法令に基づく場合、 人の生命等の保護のために必要があって本人の同意を得ることが困難なとき、 スポーツ用品会社が、個人顧客からその友人の個人情報をもらう場合)、提供を受ける会社は、以下の項目について提供者(私人)に確認し、その記録を残しておかなければなりません。オプトアウトで個人情報を第三者に提供する場合、その項目を個人情報保護委員会へ提出することが義務付けられました。個人情報保護委員会は、その内容を公表します。2014年7月、某通信教育大手企業の関連会社に勤務する派遣社員の犯行により、同社グループの犯人が持ち出した個人情報は名簿業者などに転売され、その名簿業者から個人情報を購入した複数の企業から同社の顧客に対し大量のダイレクトメールが送付されるなど、顧客には多大な迷惑が生じたのです。この事件の発覚により社会的信用が失墜した同社では著しい顧客離れが生じ、赤字決算に転落するなど経営に深刻な影響が生じました。類似の事件は過去にも別企業で発生していたのですが、この事件により、企業などから不正に持ち出された個人情報は、名簿業者により転売などの形で違法に流通しているという実態が改めて明るみに出ました。これを重く見た政府は、2017年に改正した個人情報の保護に関する法律(以下、個人情報保護法)を施行し、個人情報を提供または受領する事業者に対し、前述の義務を課すよう新たに定めました。第二十五条参考 「1」でご説明した個人情報の第三者提供における記録・確認作業ですが、実は、一般的な事業内容である限り、行わなくて良い場面が大半なのです。以下、ご説明いたします。実務では、このように、企業が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って、当該個人データが提供される場合は、第三者提供ではない、と規定されています(法第 23 条第 5 項第 1 号)。そのため、そもそも第三者提供ではないとして、この場面においては、第三者提供の同意も不要である上、記録・確認義務も生じません。このような場合も、共同利用者間での個人情報のやり取りは、第三者提供ではない、と規定されています(法第 23条第 5 項第 3 号)。そのため、そもそも第三者提供ではないとして、この場面においても第三者提供の同意は不要である上、記録・確認義務は生じません。ただ、共同利用の一定項目(個人データの項目や個人データの管理責任者の氏名など)に関して、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている(ex.HPに掲載している)ことが必要です。事業によっては、主任者など個人を事業協会へ登録する必要があったりします。この場合も企業から協会へ個人情報を提供していますが、この場合も、第三者提供の同意も不要である上、記録・確認義務の対象外です(法第25条第1項、第26条第1項)。この記録・確認義務は、個人データとは、データベースの構成素材。つまり、そのため、また、例えば、本人が、保険料金の一括見積もりサイトに、個人情報を書き込んだとします。この一括見積もりサイトの運営会社は、最終的にこの顧客情報を保険会社に提供するのですが、このサイト運営会社から保険会社への第三者提供は本人による提供であるとして、記録・確認は不要です。なお、第三者提供の同意は必要ですので、この見積もりサイト上で、サイト運営会社が保険会社へ第三者提供することについて同意を得ることになります。例えば、保険代理店などの場合、代理店として受け取った顧客情報を保険会社へ提供しています。これも理屈では、代理店という法人から保険会社という別法人への第三者提供になりますが、本人は、保険会社に自分の個人情報が行くことを意図しています。そのため、代理店は、本人に代わって提供している、ということになり、記録・確認は不要です。これは記録を完全に行わなくて良いケースとは少し違います。顧客との商品(サービス)の契約書があり、その契約書で第三者提供についての同意を得ていれば、この契約書が記録の代わりになります。そのため、契約書を保管しておくことにより記録義務としての記録の作業は不要です。なお、この方法は、オプトアウトによる第三者提供については対象外とされています。これも、記録を行わないケースではなく、記録を省略するケースです。一定の期間内に、特定の事業者との間で、継続的に又は反復して個人データを授受する場合があると思います。そのようなとき、個々の授受で記録をすることは大変煩雑です。そのため、このような場合は、なお、この方法も、オプトアウトによる第三者提供については対象外とされています。この他、様々な細かいケースが個人情報の保護に関する法律についてのガイドラインに定められています。記録・確認義務についてご不明点がございましたら、どうぞ弁護士までご相談ください。参考 作成された記録は、個人情報取扱事業者にて一定期間保存することが義務付けられています。そして、その保存期間は、第三者提供時の記録の作成方法により異なります。この場合の保存期間は、個人データを提供した日から1年です。この場合の保存期間は、最後に個人データを提供した日から3年です。この場合の保存期間は、記録を作成してから3年です。個人情報保護法における個人情報取扱業者の監督機関は、原則的には個人情報保護委員会です。個人情報保護委員会は、個人情報取扱事業者に対する指導・助言と併せて、それに従わない場合のペナルティとしてまた、個人情報保護委員会は事業者に対して、個人情報の取扱いについて措置命令違反に関する罰則は、個人情報取扱事業者である個人情報の第三者提供に関する同意書の雛形が実際は、個人情報取扱業者がその事業や目的に沿った形にカスタマイズされたものを使用することになります。同意書の法的効力は契約書と変わりません。なお、雛形に記載の項目の他に、「個人情報の管理方針」についても、項目を設けておくと良いでしょう。すでに少し触れましたが、個人情報保護法は、その内容が複雑なことからも、当局からガイドラインが発表されています。このガイドラインは、通則編から漏洩対処編まで、様々なシーンに合わせて作成されています。法律だけではわからない解釈や実務対応が掲載されていますので、ぜひ参考にされてください。さらに、このガイドラインは、個人情報を特に利用すると考えられる業種ごとにも作成されています。大きくは金融と医療ですが、その他にも、郵便事業関係、スマホ等携帯電話事業も関わる電気通信事業関係などです。心当たりのある事業の方は、ぜひ確認してください。引用 あなたの会社においても、様々な個人情報のやり取りが発生していると思います。コンプライアンスの観点からも、その1つ1つを洗い出し、記録・確認が必要なのか検討してください。前述したように、通常の事業であれば記録・確認は不要であることが多いことは確かです。しかし、とはいえ、改正後の個人情報保護法における個人情報の第三者提供にかかる義務は非常に複雑です。それに対する社内で理解を整理する場合でも、個人情報保護法に詳しい弁護士に相談しながら、弁護士の意見書などを取り揃えておけば最善です。個人情報の第三者提供に関する同意書の作成方法などのトラブル防止策や、個人情報の授受を巡る万一のトラブル発生時にも、弁護士に相談すれば適切な助言を得ることができますし、事業者の代理人としてのトラブル対応についても依頼することが可能です。個人情報保護に関する各種規制は、今後厳しくなることはあっても緩和されることはないでしょう。特に個人情報・個人データの第三者提供については悪質な違反事例が後を絶たないため、当局の監視の目はより一層厳しくなるものと考えられます。あなたのビジネスを無用なリスクに晒さないために、まずは個人情報の第三者提供に関する基本的な知識を身に付けてください。そして、弁護士などの専門家などに相談しながら、ビジネス上の体制整備を行ってください。それが、個人情報の取り扱いについて、事業者に徹底した配慮を求める現代のビジネスシーンを生き残る必要条件のひとつです。あなたは、これらの問題に頭を抱えてはいませんか?どのように解決していくべきかをイメージできず、きっとお困りのことと思います。ベリーベスト法律事務所、代表弁護士の萩原 達也です。 国内最大級の拠点数を誇り、クオリティーの高いリーガルサービスを、日本全国津々浦々にて提供することをモットーにしています。また、中国、ミャンマーをはじめとする海外拠点、世界各国の有力な専門家とのネットワークを生かしてボーダレスに問題解決を行うことができるこも当事務所の大きな特徴です。まずは当社無料相談にお申し込みください。当社の弁護士が必ず解決策を見つけ出します。リンクの先には、弊社電話番号・カテゴリー毎の法律のお問い合わせ先がございます。そちらからご自身のお悩みのカテゴリーを選択してください。初回無料で受け付けておりますので、お気軽にお問い合わせください。私たちベリーベスト法律事務所は、お客様にとって最高の解決が得られるように、情熱と誠意をもって全力を尽くす弁護士集団です。 © Copyright 2020 Legal Mall by Verybest ベリーベスト法律事務所がお届けする「使える!役立つ!」法律情報サイト.