個人情報保護法の改正点② ～オプトアウト制度・個人データの第三者提供に関する義務～

前回の「個人情報保護法の改正点①」に引き続き、平成２９年５月３０日の個人情報保護法の改正についてご説明します。
　いわゆるオプトアウト制度の変更や、個人データを第三者に提供する場合の新たな義務の追加などがなされていますので、ＥＣ・ＩＴ事業者さんにも関わってくる部分だと思います。

１　オプトアウトによる第三者提供に関する規制の強化（改正法２３条２項）
- 1.1　個人情報保護委員会への届け出
- 1.2　通知または公表する項目の追加
２　個人データを提供する側の記録・保存義務（改正法２５条）
３　個人データの提供を受ける側の記録義務
４　個人データの提供を受ける場合の確認義務
５　まとめ

１　オプトアウトによる第三者提供に関する規制の強化（改正法２３条２項）

オプトアウトとは、第三者に提供する個人データの項目などの一定の事項を、あらかじめ本人に通知するか、または本人の知りうる状態にしておき、本人から申し出があった時点で個人データの第三者提供をやめるようにすれば、本人の事前同意を得なくても個人データの第三者提供ができるという制度です。

個人データを第三者に提供するには、原則として本人の同意が必要ですが（改正法２３条１項）、オプトアウトは、この原則に対する例外的なものです。詳細は、過去記事をご欄ください。（参照：個人情報の第三者提供についてのルール_個人情報保護法）

今回の改正で、オプトアウトの要件が追加され、規制が厳しくなりました。
以下では、オプトアウトに関し、今回の改正で追加された部分を見ていきます。

1.1　個人情報保護委員会への届け出

今回の改正として大きな点は、提供する個人データの項目などの一定の事項を、個人情報保護委員会（国）に届け出する必要があるという点です。

これまでは、オプトアウトを利用するためには、一定の事項を、本人に通知するか、または、本人の知りうる状態（ウェブ上で公表など）にすればよかったのですが、今回の改正で、それだけでは不十分で、国への届け出まで必要になりました。

これまでは、事業者が個別に一定事項を公表していても、自分の個人データが第三者に提供されていることを認識するのがなかなか難しく、オプトアウトの規制が十分に機能していなかったことから、国側でこれらの事項を一括で公表する（改正法２３条４項）ことにより、オプトアウト規制がしっかりと機能するようにしました。

1.2　通知または公表する項目の追加

オプトアウトをする際には、一定の事項を、あらかじめ、本人に通知するか、本人の知りうる状態においておくこと（公表）が必要です。
この一定の事項は以下のものです（改正法２３条２項１号～５号）。

①第三者への提供を利用目的とすること
②第三者に提供される個人データの項目
③第三者への提供の方法
④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
⑤本人の求めを受け付ける方法

旧法では、①～④まででよかったのですが、今回の改正で⑤が追加されました。
「⑤本人の求めを受け付ける方法」とは、本人からの第三者提供をやめてほしいという申し出を、どのような形で受け付けるかということで、具体的な記載としては、郵送、メール、電話、ウェブ上の指定フォームへの入力などが考えられます。
旧法に基づいてオプトアウトをされている方は、この⑤を追加しなければなりませんので、ご注意ください。

２　個人データを提供する側の記録・保存義務（改正法２５条）

個人データが流出した場合などに、その流出先や流出元をあとから追えるように、第三者に個人データを提供をする場合に、提供元は、その提供先などを記録し、保存する義務が新設されました。

2.1　記録しなければならない項目（改正法２５条１項、施行規則１３条１項）

個人データを第三者に提供したときに、提供元が記録しなければならない事項は、本人の同意による提供の場合（改正法２３条１項）と、オプトアウトに基づく場合（改正法２３条２項）で若干異なっています。

両者に共通する項目は以下のとおりです。

・提供先の氏名、名称等
・当該個人データによって識別される個人の氏名その他当該個人を特定するに足りる事項（住所・生年月日など）
・提供した個人データの項目

これらに加え、本人の同意による提供の場合には、本人から同意を得た旨、オプトアウトによる提供の場合には、提供した年月日を記録することになります。

2.2　記録の作成方法と保存期間

このような作成した記録を保存しておかなければなりませんが、記録の作成方法には以下の３種類があり、作成方法により保存期間が異なります。

2.2.1　通常の場合

通常の場合は、個人データを第三者に提供した後、速やかに記録を作成することになります（改正法２５条１項、施行規則１２条１項）。
この場合の保存期間は、記録を作成したときから３年間です（法２５条２項、施行規則１４条３号）。

2.2.2　契約書等の書面による代替の場合

本人に対する物品の提供・役務の提供に関連して個人データを第三者に提供する場合で、その契約書などの書面に、記録すべき事項が記載されているときは、その契約書を記録に代えることができます（改正法２５条１項、規則１２条３項）。具体的には、グループ企業の親会社と子会社が共同で役務を提供する際に、親会社・子会社間で情報連携を行うことについての承諾する旨の同意書などがこれにあたります。
この場合の保存期間は、個人データの提供を行った日から１年間です（法２５条２項、施行規則１４条１号）。

2.2.3　一括して記録を作成する場合

個人データを継続的にもしくは繰り返し提供する場合は、一括して記録を作成することができます（改正法２５条１項、規則１２条２項ただし書）。この場合の保存期間は、個人データを最後に提供した日から３年間です（改正法２５条２項、規則１４条２号）。

2.3　解釈により記録義務がないとされる第三者提供

解釈上、そもそも、記録義務がないとされている第三者提供があります。
改正法２５条１項は、個人データを「第三者」へ提供する場合に必要となるものなので、「本人」に提供する場合には、記録義務はないと考えられています。
個人情報保護委員会が出している、個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）「2-2 解釈により確認・記録義務が適用されない第三者提供」でも、本人による提供の場合や、本人に代わって個人データを提供している場合などには、記録義務は適用されないとしています。
同ガイドラインでは、本人に代わって個人データを提供している場合の例としては、以下のものが挙げられています。

事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合

このような場合には、そもそも記録義務がないので、個人データを提供したとしても記録をしなくてもよいことになります。

なお、本人からの実質的な同意（明示的な同意には限られない）があることが前提になるので、オプトアウトによる第三者提供の場合には、記録義務がないということにはなりません。

３　個人データの提供を受ける側の記録義務

　個人データの第三者提供の場合、提供を受ける提供先の側にも、提供元と同様に、一定の事項を記録する義務が課せられています。

3.1　記録しなければならない項目（改正法２６条３項、施行規則１７条１項）

本人の同意による提供の場合（改正法２３条１項）、オプトアウトに基づく場合（改正法２３条２項）、個人情報取扱事業者ではない一般の方から第三者提供を受けた場合の３種類で、記録すべき事項が異なります。

それぞれに共通する事項は以下のとおりです。

・提供元の氏名、名称等
・個人データの取得の経緯
・当該個人データによって識別される個人の氏名その他当該個人を特定するに足りる事項（住所・生年月日など）
・提供を受けた個人データの項目

オプトアウトにより個人データの提供を受けた場合、これらに加え、提供を受けた年月日、個人情報保護委員会により公表がされている旨を記録しておく必要があります。
本人の同意に基づく第三者提供の場合、本人の同意を得ている旨が必要になります。
個人情報取扱事業者ではない一般の方から第三者提供を受けた場合には、上記の記録のみで大丈夫です。

3.2　記録の作成方法と保存期間（２６条４号、施行規則18条）

作成方法は、「2.2　記録の作成方法と保存期間」と同様に３種類あり、保存期間も同様です。

3.3　解釈により記録義務がないとされる第三者提供

個人データを提供する側についても、解釈上、記録義務がないとされている場合があります。考え方や、具体例は、「2.3　解釈により記録義務がないとされる第三者提供」のとおりですので、ご参照ください。

４　個人データの提供を受ける場合の確認義務

個人データの提供を受ける際に、提供先が、提供元に一定の事項を確認する義務も追加されました。これは、提供される個人データが不正に取得されたものでないかどうかを確認し、不正取得情報が転々流通するのを防ぐ趣旨です。
提供を受ける側が提供元に確認すべき事項は、①提供元の氏名・住所、法人の場合にはその代表者の氏名、②提供元が当該個人データを取得した経緯です（改正法26条1項）。
　これも新しい規制なので、忘れずに行ってください。
なお、「2.3　解釈により記録義務がないとされる第三者提供」の場合には、この確認義務もないとされています。

５　まとめ

今回の個人情報保護法の改正で、事業者に新たな義務が追加されたり、制度自体が変更された部分などが多々あります。まだ対策をされていない事業者さんは、今後体制を整備する必要がありますので、その際に当記事を参考にしていただければ幸いです。

個人情報保護法の改正点② ～オプトアウト制度・個人データの第三者提供に関する義務～