【個人情報保護法第26条・則第15条乃至第18条・則附則第4条・第5条】第三者提供を受ける際の確認等 2017/01/03
メディア実績ページリンク
【アルバム】社会保険労務士 松本祐徳 メディア実績(2013~)
著書『図解とQ&Aですっきりわかるマイナンバーのしくみ』(宝島社)=33,000部=トーハン調べ2015/11/4週間ベストセラー単行本ビジネス書6位
共著『入門 マイナンバーの落とし穴ー日本一わかりやすい解説』(毎日新聞出版)=10,000部
『週刊エコノミスト 2018年7月17日号』(毎日新聞出版)2018年7月9日発売「特集:変わる!労働法」最大枠2テーマ3頁寄稿
#週刊エコノミスト 7月17日号「変わる!労働法」では、社会保険労務士の松本祐徳氏が、残業代などの算定基礎に加えなくてよいと思いがちの #手当 の誤解を分かりやすく説明しています。 pic.twitter.com/D1ald91mop
— 週刊エコノミスト編集部 (@EconomistWeekly) 2018年7月9日
『週刊エコノミスト 2018年2月20日号』(毎日新聞出版)2018年2月13日発売「特集:みんなの労働法」最大枠2テーマ5頁寄稿
未払い賃金などの賃金債権の時効はこれまで2年でしたが、今後延長されるかもしれません。そうなれば請求金額は膨大に。会社の経営を直撃するかもしれません。https://t.co/G5uKKZ1sqH pic.twitter.com/V9mqUmuiVQ
— 週刊エコノミスト編集部 (@EconomistWeekly) 2018年2月15日
『週刊エコノミスト 2015年9月15日特大号』(毎日新聞出版)2015年9月7日発売「特集:マイナンバーがやって来る!」最大枠5頁寄稿
講演
東京都知事小池百合子さんにテレビで紹介されました!
個人情報保護規程(マイナンバー法・ストレスチェック網羅版)
第三者提供を受ける際の確認等
| (第三者提供を受ける際の確認等)
保護法第26条第1項 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。 ① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名 ② 当該第三者による当該個人データの取得の経緯 保護法第26条第2項 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。 保護法第26条第3項 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 保護法第26条第4項 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。 |
第三者提供を受ける際の確認
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合を除き、次に関する事項の確認を行わなければならないものとし、当該個人データを提供する第三者は、当該確認に係る事項を偽ってはならない(違反者は第88条の規定により10万円以下の過料に処せられる)。【第26条第1項、第2項】
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
② 当該第三者による当該個人データの取得の経緯
第三者提供を受ける際の確認の方法【則第15条】
① 第26条第1項第1号に掲げる事項に関する確認の方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法【第26条第1項第1号、則第15条第1項】
第三者から申告を受ける方法に該当する事例【平成28年委員会告示第8号】
| イ 口頭で申告を受ける方法ロ 所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法
ハ 本人確認書類の写しの送付を受け入れる方法 |
その他の適切な方法に該当する事例【平成28年委員会告示第8号】
| イ 登記されている事項を確認する方法(受領者が自ら登記事項証明書・登記情報提供サービスで当該第三者の名称・住所・代表者の氏名を確認する方法)ロ 法人番号の提示を受けて、当該法人の名称、住所を確認する方法
ハ 当該第三者が自社のホームページなどで名称、住所を公開している場合において、その内容を確認する方法 ニ 信頼性のおける民間のデータ業者のデータベースを確認する方法 ホ 上場会社等の有価証券報告書等を確認する方法 |
② 第26条第1項第2号に掲げる事項に関する確認の方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法【第26条第1項第2号、則第15条第2項】
適切な方法に該当する事例【平成28年委員会告示第8号】
| イ 提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法ロ 提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
ハ 提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法 ニ 提供者が本人の同意を得ていることを誓約する書面を受け入れる方法 ホ 提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法 ヘ 本人による同意書面を確認する方法 |
③ 個人データを提供する第三者から他の個人データの提供を受けるに際して既に上記①又は②の方法による確認(当該確認について則第16条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と過去に確認済の内容が同一であることの確認を行う方法【則第15条第3項】
④ 施行日前に上記①及び②に相当する方法(当該確認について則第16条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、上記③を適用することができる。【則附則第4条】
第三者提供を受ける際の確認に係る記録の作成
個人情報取扱事業者は、当該第三者から第26条第1項に関する事項の確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。
① 個人情報取扱事業者が第23条第2項の規定により個人データの提供を受けた場合、次のイからホまでに掲げる事項
イ 個人データの提供を受けた年月日【第26条第3項、則第17条第1項第1号イ】
ロ 第26条第1項各号に掲げる事項【第26条第3項、則第17条第1項第1号ロ】
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項【則第17条第1項第1号ハ】
ニ 当該個人データの項目【則第17条第1項第1号ニ】
ホ 第23条第4項の規定により公表されている旨【則第17条第1項第1号ホ】
② 個人情報取扱事業者が第23条第1項又は第24条の規定による個人データの提供を受けた場合、次のイ及びロに掲げる事項【則第17条第1項第2号】
イ 第23条第1項又は第24条の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項
受領者は、個人情報取扱事業者から個人データの提供を受ける際には、当該個人情報取扱事業者の法の遵守状況(例えば、利用目的、開示手続、問合せ・苦情の受付窓口の公表など)についても確認することが望ましい。特に、個人情報取扱事業者からオプトアウトによる第三者提供により個人データの提供を受ける際には、受領者は、則第17条第1項第1号ホの規定により、当該個人情報取扱事業者の届出事項が委員会により公表されている旨を記録しなければならないことに留意する必要がある。
提供者である個人情報取扱事業者の法の遵守状況を確認した結果、提供される個人データが適法に入手されたものではないと疑われるにもかかわらず、当該個人データの提供を受けた場合には、第17条第1項に違反するおそれがある。【平成28年委員会告示第8号】
第三者提供を受ける際の確認に係る記録の作成の方法【則第16条】
① 文書、電磁的記録又はマイクロフィルムを用いて作成すること【則第16条第1項】
② 記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。た
だし、当該第三者に対し個人データを継続的に若しくは反復して提供(第23条第2項の規定による提供を除く。以下この条において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。【則第16条第2項】
③ 上記②の規定にかかわらず、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に則第17条第1項各号に定める事項が記載されているときは、当該書面をもって第26条第3項の当該事項に関する記録に代えることができる。【則第16条第3項】
第三者提供を受ける際の確認に係る記録の省略【則第17条第2項、則附則第5条】
則第17条第1項各号に定める事項のうち、既に前条に規定する方法により作成した第26条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる(施行日前に行ったものについても適用される)。
第三者提供を受ける際の記録の保存期間【第26条第4項、則第18条】
|
場合 |
期間 |
|
|
① |
則第16条第3項に規定する方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間 |
|
② |
則第16条第2項ただし書に規定する方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
|
③ |
前2号以外の場合 | 3年 |
第25条・第26条の確認・記録義務の方向性について
平成26年に発生した民間企業における大規模漏えい事案を契機として、名簿屋対策を目的とするトレーサビリティの規定が新設された。また、オプトアウト規定を利用する事業者の委員会への届出義務及び委員会による公表の規定も導入され、これらの制度が相俟って、違法な名簿屋による個人データの流通を抑止しようとするものである。
他方、正常な事業活動を行っている事業者に対する過度な負担を懸念する声が多く上がっていることから、現実的な規則の在り方について検討する必要がある。事業者に対する過度な負担となるおそれのある具体的な課題(事例)及び対応案は、次の①から⑦までに掲げる事項である。
|
課題(事例) |
対応案 |
| SNS等のweb上で個人Aのプロフィール、投稿内容等を閲覧した事業者Bは、確認・記録作成を行わなければならないか。 | 個人Aによる提供とみなし、SNS等運営業者による第三者提供には該当しないものと整理する。 |
| 事業者Aのオペレーターが、顧客Bから販売商品の修理依頼の連絡を受けたため、提携先の修理業者Cにつなぐこととなり、Bの同意を得た上でBに代わって、Bの氏名、連絡先等をCに伝える場合、Aは記録作成を行わなければならないか。 | 事業者Aは顧客Bに代わって修理業者CにBの個人データを提供しているとみなし、Aによる第三者提供には該当しないものと整理する。 |
| 団体Aが、あらかじめ同意を得た上で、地域の税理士等の氏名・連絡先等を記載した名簿を作成し、団体加盟企業に配布する場合、団体Aは、その都度、配付した年月日等の記録作成を行わなければならないか。 | 本人の同意に基づき個人データを提供する場合の記録事項は緩和する。 |
| 金融機関Aの営業員が、家族Cと共に来店した顧客Bに対して、保有金融商品の損益状況等を説明する場合、顧客Bの個人データを家族Cに第三者提供をしたものとして、同席する家族Cの氏名等の記録作成を行わなければならないか。 | 金融機関Aは、家族Cを含む顧客B側に対して提供しているとみなし、第三者に対する提供には該当しないものと整理する。 |
| 電力会社Aが、利用者Bからの申込により振替口座として指定されている銀行Cに対し、口座振替のために必要な情報(氏名、口座番号、金額等)を通知する場合に、電力会社A及び銀行Cは、別途、記録作成を行わなければならないか。 | 本人(利用者B)が当事者である契約等(口座振替による支払委託契約等)に基づき、電力会社A・銀行C間で個人データが授受される際は、当該契約等を証する書類(預金口座振替依頼書等)の記録をもって記録義務に代え得るものと整理する。 |
| 事業者Aの営業担当が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを事業者Bの営業担当に渡す場合、Bは「個人データ」を受け取ったものとして、確認・記録作成を行わなければならないか。 | 事業者Bは、「個人データ」の提供を受けていないとみなし、確認・記録義務は適用されないものと整理する。
|
| 同一の個人情報取扱事業者間で反復継続して同一項目の個人データを授受するような場合、個々の個人データの授受ごとに確認・記録作成を行わなければならないか。 | 包括的に記録を作成することができるものと整理する。 |
「提供者」の考え方【平成28年委員会告示第8号】
次の①又は②に該当する場合は、実質的に「提供者」による提供ではないものとして、確認・記録義務は適用されない。
① 本人による提供
事業者が運営するSNS等に本人が入力した内容が、自動的に個人データとして不特定多数の第三者が取得できる状態に置かれている場合は、実質的に「本人による提供」をしているものである。
したがって、個人情報取扱事業者がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者及び取得した個人情報取扱事業者の双方において、確認・記録義務は適用されない。
本人による提供に該当する事例
| SNS上で、投稿者のプロフィール、投稿内容等を取得する場合 |
② 本人に代わって提供
個人情報取扱事業者が本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該個人情報取扱事業者は「本人に代わって」個人データの提供をしているものである。
したがって、この場合の第三者提供については、提供者・受領者のいずれに対しても確認・記録義務は適用されない。
個人情報取扱事業者が本人からの委託等に基づいて個人データを提供しているものと評価し得るか否かは、主に、委託等の内容、提供の客体である個人データの内容、提供するとき及び提供先の個人情報取扱事業者等の要素を総合的に考慮して、本人が当該提供を具体的に特定できているか否かの観点から判断することになる。
なお、本人から個人データの提供の委託等を受ける場合において、当該個人データに、「本人」以外の者の個人データが含まれる場合もあり得る。
本人に代わって個人データを提供している事例
| イ 本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合ロ 事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
ハ 事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合 ニ 本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合 ホ 保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に提供する場合 ヘ 取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合 ト 事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合 チ 本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合 |
「受領者」の考え方【平成28年委員会告示第8号】
本人の代理人又は家族等、本人と一体と評価できる関係にある者に提供する場合、本人側に対する提供とみなし、受領者に対する提供には該当せず、確認・記録義務は適用されない。
なお、常に家族であることをもって本人側と評価されるものではなく、個人データの性質、両者の関係等に鑑みて実質的に判断する必要がある。
また、提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行い、本人がそれを明確に認識できる場合は、同じく、本人側に対する提供とみなし、確認・記録義務は適用されない。
本人と一体と評価できる関係にある者に提供する事例
| 金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合 |
提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行う事例
| 振込依頼人の法人が、受取人の個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行の振込先の口座に振り込む場合 |
「提供」行為の考え方【平成28年委員会告示第8号】
不特定多数の者が取得できる公開情報は、本来であれば受領者も自ら取得できる情報であり、それをあえて提供者から受領者に提供する行為は、受領者による取得行為を提供者が代行しているものであることから、実質的に確認・記録義務を課すべき第三者提供には該当せず、同義務は適用されない。
例えば、ホームページ等で公表されている情報、報道機関により報道されている情報などが該当する。他方、特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
なお、当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない。【則第13条第1項第1号ロカッコ書き】
また、いわゆる公開情報であっても、「個人情報」(第2条第1項)に該当するため、第4章第1節のうち、確認・記録義務以外の規定は適用されることには留意する必要がある(例えば、ホームページ等で公表されている情報を利用し、情報提供者である本人に対してテレアポ又はダイレクトメールを送信する場合は第16条第1項の利用制限の適用を受ける)。
第26条の「個人データ」の該当性【平成28年委員会告示第8号】
第26条は、「個人データ」の提供を受ける際に適用される義務であるところ、「個人情報」には該当するが「個人データ」には該当しない情報の場合、又は、そもそも「個人情報」に該当しない情報の提供を受けた場合は、同条の義務は適用されない。
① 受領者にとって「個人データ」に該当しない場合
イ 判断主体
第26条の要件の該当性は、同条の名宛人である受領者を基準に判断する必要があるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
したがって、例えば、個人情報取扱事業者の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の個人情報取扱事業者の営業担当者に渡す場合、受領した側の個人情報取扱事業者は確認・記録義務を負わない。
なお、本来であれば個人データに該当するにもかかわらず、確認・記録義務を免れる目的のために、あえて分断して形式的に「個人データには該当しない個人情報」として提供を受ける行為は、法の潜脱であり、確認・記録義務を免れることはできない。
ロ 判断時点
個人データには該当しない個人情報として提供を受けた場合、仮に、後に当該個人情報を個人情報データベース等に入力する等したときにおいても、第26条の確認・記録義務は適用されない。
なお、受領後、受領者が当該個人情報を自己のデータベースに入力した場合には、入力時点から個人情報データベース等を構成する個人データに該当することとなり、第26条の義務は課されなくとも、第19条から第34条までの規定が適用される。
ハ 上記イ及びロを踏まえ、受領者たる個人情報取扱事業者に対しては、提供を受ける時点において、個人データに該当する場合に、確認・記録義務が適用される。
② 受領者にとって「個人情報」に該当しない場合
次の事例のように、提供者にとって個人データに該当する場合であっても、受領者にとっては「個人情報」に該当しない(当然に個人データにも該当しない。)情報を受領した場合は、第26条の確認・記録義務は適用されない。
受領者にとって個人情報に該当しない事例
| イ 提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合ロ 提供者で管理しているID番号のみが付された個人データの提供を受けた場合 |
提供を受けるに際して【平成28年委員会告示第8号】
第26条の確認・記録義務は、受領者にとって、「第三者から個人データの提供を受ける」行為がある場合に適用されるため、単に閲覧する行為については、「提供を受ける」行為があるとは言えず、第26条の義務は適用されない。
なお、提供者たる個人情報取扱事業者が、個人データを第三者が利用可能な状態に置く行為は、提供行為に該当する。
また、口頭、FAX、メール、電話等で、受領者の意思とは関係なく、一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないときは、第26条の確認・記録義務は適用されない。
一括して記録を作成する方法に該当する事例【則第12条第2項、第16条第2項、平成28年委員会告示第8号】
① 最初の授受の際に一旦記録を作成した上で、継続的に又は反復して個人データを授受する対象期間内に、随時、追加の記録事項を作成する方法
② 継続的に又は反復して個人データを授受提供する対象期間内に、月ごとに記録を作成する方法
③ 継続的に又は反復して個人データを授受提供する対象期間の終了後、速やかに記録を作成する方法
「一括して記録を作成する方法」は、例外としての記録作成方法であることに鑑みて、その対象期間、対象範囲等を明確にすることが望ましい。
「確実であると見込まれるとき」の例としては、継続的に又は反復して個人データを授受することを内容とする基本契約を締結することで、以後、継続的に又は反復して個人データを提供することが確実であると見込まれる場合などが該当する。この場合は、当該基本契約に係る契約書をもって記録とすることができる。
契約書等の代替手段により記録を作成する方法【則第12条第3項、第16条第3項、平成28年委員会告示第8号】
① 本人に対する物品又は役務の提供
提供者若しくは受領者又は提供者及び受領者の双方が「本人に対する物品又は役務の提供」の主体となる場合を含む。また、「本人に対する物品又は役務の提供」には、契約を根拠とする場合のほか、法令を根拠とする場合を含む。
提供者及び受領者の双方が主体となる事例
| グループ企業が親会社と子会社が共同で役務を提供する際に、親会社・子会社間で情報連携を行うことについての承諾する旨の同意書 |
法令を根拠とした本人に対する物品又は役務の提供に該当する事例
| 自動車の運行による事故の被害者から、自動車損害賠償保障法を根拠として、加害者の自動車保有者と自動車保険契約を締結している保険会社に対して直接請求権が発生し、当該請求権の履行として当該保険会社が被害者が診療を受ける病院に診療費を支払う際に、病院との間で被害者の個人データを授受する場合 |
② 当該提供に関して作成された(契約書その他の書面)
複数の書面を合わせて1つの記録とすることは妨げられない。
個人データを第三者提供する際に作成された契約書その他の書面の他、当該個人データの内容を構成する契約書その他の書面も、「当該提供に関して作成された」ものに該当する。例えば、「個人データの内容を構成する契約書その他の書面」により「本人の氏名その他の当該本人を特定するに足りる事項」及び「当該個人データの項目」の記録を作成した場合には、それ以外の事項については別の「契約書その他の書面」により記録を作成することとなる。
個人データの内容を構成する契約書その他の書面の事例
| 事業者が本人を債務者とする金銭債権を第三者に債権譲渡する際の金銭債権に係る契約書 |
③ 契約書その他の書面
本人と提供者との間で作成した契約書のみならず、提供者と受領者との間で作成した契約書も含まれる。「契約書」の他にも、「その他の書面」には、個人情報取扱事業者の内部で作成された帳票、記録簿等も含まれる。また、「契約書その他の書面」は、則第7条第3項の規定により電磁的記録を含むため、システム上の記録等も「契約書その他の書面」に該当する。
代行により記録を作成する方法【則第12条、第16条、平成28年委員会告示第8号】
提供者・受領者のいずれも記録の作成方法・保存期間は同一であることに鑑みて、提供者(又は受領者)は受領者(又は提供者)の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければならない。
また、委託先の個人情報取扱事業者が委託契約の目的の範囲内で第三者との間で個人データの授受を行った場合において、一義的には委託先の個人情報取扱事業者が記録を作成する義務があるが、委託元の個人情報取扱事業者が記録の作成を代行することができる。
平成27年法律第65号施行日
平成29年5月30日【平成27年法律第65号附則第1条本文、平成28年政令第385号】
