041_個人データを渡したり渡されたり

個人データ(個人情報をデータ化したもの)を、ビジネスモデルや事業譲渡などで、事業者が取引先に渡すような時は要注意です。何はともあれ、原則としては、個人データの主であるご本人の同意が必要です。

通常は、Aさん、Bさん、Cさん・・・とひとりひとりから「あなた様の個人データをイロハ社に提供しますがよろしいですか?」と同意を取得しなければなりません。全30,000人のデータについて、同意の取得ができた人が5,000人しかいなければ、イロハ社に渡せるのは5,000人分だけ。残り25,000人分は渡すことはできません。

プライバシー権とは、自分の情報をコントロールすることができる権利ですので、第三者に渡していいかどうかについて、個人データの主体者である本人に同意を取得するのは至極当然のことですね。
これは、2003年の制定当時から個人情報保護法に定められていることですので、知っている方々は多いと思います。

問題は、2015年の改正法で義務付けられた記録作成の義務です。
個人データの提供時に、情報の出し手と受け手に法令の定める事項を記録し、一定期間保存する義務が課せられました。個人情報保護法の25条と26条です。

第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

以上の条文が、出し手の義務です。

第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯
2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

以上の条文が、受け手の義務です。

この個人情報保護法25条、26条の詳細につきましては、以下のURLにガイドラインがございますので、ご参照くださいませ。
なお、本人に代わって提供する場合は、この記録の作成と保存は不要とされている点も知っておくべき知識です。
https://www.ppc.go.jp/files/pdf/guidelines03.pdf

情報の出し手が何を記録のうえ保存すればいいかは、上記ガイドラインのP.22の下段にある表組がわかりやすいです。
ざっくりとお示ししますと、冒頭で記載したように原則に従って同意を取得して提供する際は、

①第三者の氏名:これは提供相手の事業者名です。
②本人の氏名:これは顧客の名前です。
③個人データの項目:提供項目です。
④本人の同意:同意ログなどです。

これらを一定期間(3年間など、条件によって異なります)は保管することが必要です。
通常はバックアップデータなどを保存しておけば足りると思われますので、アプリのシステム要件を定義する際に忘れないようにしましょう!!!

※本記事に使用したイラストの著作権は「いらすとや」に帰属するものです