改正個人情報保護法実務ガイドブック輪読会_20220316

Transcript

1. 個人データ戦略活用
 ステップで分かる
 改正個人情報保護法実務ガイドブック
 
 3-7(STEP7)
 Hiroaki ONO
 slack : @hihihiroro,

   twitter : @hihihiroro


2. STEP7-1 第三者提供する場合の記録・確認義務の概要
 STEP7-2 記録・確認の必要がない場合
 STEP7-3 提供を受ける場合の確認
 STEP7-4 記録事項
 STEP7-5 記録の作成方法


   STEP7-6 記録の保存期間
 STEP7-7 記録の開示請求
 STEP7


3. STEP7-1 第三者提供する場合の記録・確認義務の概要 
 • 適用除外、記録の方法が多数あり、提供側には罰則規定もある
 ◦ 個人データの第三者提供：記録を残すことが義務化 
 ▪ 提供者：提供年月日・受領者の氏名等を記録

   
 ▪ 受領者：提供者の氏名・取得経緯・提供を受けた年月日・確認に係る事項等を記録 
 • 外国の事業者に提供する場合は、規律が異なる
 ◦ 個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編） 
 • 提供側、受領側とも本人からの開示請求に対応しなければならない
 ◦ 個人データ流通把握、事業者に対する権利行使の容易化 New!!
 P.130-131


4. • 確認・記録義務の全体図
 STEP7-1 第三者提供する場合の記録・確認義務の概要 
 https://www.ppc.go.jp/personalinfo/legal/guidelines_thirdparty/ 
 P.130-131


5. STEP7-1 第三者提供する場合の記録・確認義務の概要 
 • 適用除外、記録の方法が多数あり、提供側には罰則規定もある
 ◦ 個人データの第三者提供：記録を残すことが義務化 
 ▪ 提供者：提供年月日・受領者の氏名等を記録

   
 ▪ 受領者：提供者の氏名・取得経緯・提供を受けた年月日・確認に係る事項等を記録 
 • 外国の事業者に提供する場合は、規律が異なる
 ◦ 個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編） 
 • 提供側、受領側とも本人からの開示請求に対応しなければならない
 ◦ 個人データ流通把握、事業者に対する権利行使の容易化 New!!
 P.130-131


6. STEP7-2 記録・確認の必要がない場合
 • 過度な規制とならないよう、明文化されたもの以外に解釈上、
 義務がかからない場合が多数ある
 • 提供データが「個人データ」「個人情報」に該当しない、
 「個人データの提供を受ける」も該当しない場合
 受領者は確認・記録の義務はない
 P.131-136


7. STEP7-2 記録・確認の必要がない場合
 提供者の
 記録義務
 受領者の
 確認・記録義務
 明文上、適用除外
 ✕ ✕ 解釈上、適用除外


   ✕ ✕ 提供者にとって「個人データ」に該当しない 
 ✕ ✕ 受領者にとって「個人データ」に該当しない 
 ◯ ✕ 受領者にとって「個人データの提供を受ける」に該当しない 
 ◯ ✕ P.131-136
 P.131-136


8. • 明文上、適用除外
 ◦ 個人データが転々流通することが想定されにくいもの 
 ▪ 法令に基づく場合
 ▪ 人命や財産の保護に必要がある場合で、本人の同意を取るのが困難な場合 


   ▪ 公衆衛生の向上又は児童の健全な育成の推進のため必要がある場合で、 
 本人の同意を取るのが困難な場合 
 ▪ 国の機関若しくは地方公共団体又はその委託を受けた者が事務の遂行に支障を及ぼす場合 
 ◦ 第三者に該当しないとしたもの (外国に提供する場合は基本的に同意取得が必要) 
 ▪ 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は 
 一部を委託することに伴って当該個人データが提供される場合 
 ▪ 合併その他の事由による事業の承継に伴って個人データが提供される場合 
 ▪ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合 
 ◦ 第三者の例外
 ▪ 国の機関、地方公共団体、独立行政法人、地方独立行政法人 
 STEP7-2 記録・確認の必要がない場合
 P.131-136


9. • 解釈上、適用除外
 ◦ 本人による提供
 ▪ SNS等に本人が入力した内容が、自動的に個人データとして 
 不特定多数の第三者が取得できる状態に置かれている場合 
 ◦

   本人に代わって提供 
 ▪ 本人からの委託等に基づき当該本人の個人データを第三者提供する場合 
 ▪ 銀行から銀行への振り込み、販売事業者がメーカに修理依頼 など 
 ◦ 本人と一体と評価できる関係にある者に提供 
 ▪ 家族や代理人などが該当 
 ▪ 提供者が、最終的に本人に提供することを意図した上で、 
 受領者を介在して第三者提供を行い、本人がそれを明確に認識できる場合 
 ◦ 公開情報
 ▪ ホームページ等で公表されている情報、報道機関により報道されている情報 など 
 STEP7-2 記録・確認の必要がない場合
 P.131-136


10. • 受領者にとって「個人データ」に該当しない
 ◦ 個人データに該当しない場合 
 ▪ 個人情報データベースから一人だけの情報を渡す場合 など 
 ▪

    確認・記録義務を免れる目的のためあえて分断して提供するのは法の潜脱 
 ◦ 個人情報に該当しない場合 
 ▪ 提供者が加工などして受領者にとっては個人情報に該当しない場合 
 • 氏名を削除するなどして個人を特定できないようにしたデータ
 • 提供者で管理しているID番号のみが付されたデータ
 ▪ 提供者側で特定の個人を識別できる場合は、提供者側は同意取得と記録義務がある 
 STEP7-2 記録・確認の必要がない場合
 P.131-136


11. • 受領者にとって「個人データの提供を受ける」に該当しない
 ◦ 単に閲覧する場合
 ▪ 免許者やパスポートを見る など 
 ▪ 口頭、FAX、メール、電話等で、受領者の意思とは関係なく、

    
 一方的に個人データを提供された場合 
 STEP7-2 記録・確認の必要がない場合
 P.131-136


12. STEP7-3 提供を受ける場合の確認
 • 受領者は、提供者が適正に個人データを取得しているかの確認が必要
 ◦ 提供者の氏名または名称と住所、提供者が法人の場合は代表者の氏名 
 ▪ 口頭、書類での申告 など

    
 ◦ 取得先の別、取得行為の態様 
 ▪ 誰から、どの経路で取得したか 
 ▪ オプトアウト手続きの場合は、オプトアウト手続きが適正にされているか 
 • 提供者が個人情報保護法を遵守しているか確認することが望ましい
 ◦ 利用目的、開示手続、問合せ・苦情の受付窓口の公表 など 
 ◦ 疑わしいと思ったら提供を受けないようにすべき 
 P.136-138


13. 提供者
 
 提供
 年月日
 提供先の
 氏名など
 本人の
 氏名など
 個人データ
 の項目


    本人の同意
 
 
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 
 
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 
 
 受領者
 
 受領
 年月日
 提供元の
 氏名など
 本人の
 氏名など
 個人データ
 の項目
 本人の同意
 取得の経緯
 個人情報保護
 委員会による公表
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 ◯
 ◯
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 ◯
 
 私人
 
 ◯
 ◯
 ◯
 
 ◯
 
 STEP7-4 記録事項
 P.138-142


14. 提供者
 
 提供
 年月日
 提供先の
 氏名など
 本人の
 氏名など
 個人データ
 の項目


    本人の同意
 
 
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 
 
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 
 
 受領者
 
 受領
 年月日
 提供元の
 氏名など
 本人の
 氏名など
 個人データ
 の項目
 本人の同意
 取得の経緯
 個人情報保護
 委員会による公表
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 ◯
 ◯
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 ◯
 
 私人
 
 ◯
 ◯
 ◯
 
 ◯
 
 STEP7-4 記録事項
 P.138-142


15. STEP7-4 記録事項
 • 共通する記録事項
 ◦ 誰から誰に提供されたか 
 ▪ 提供者：当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項 


    　　　（不特定かつ多数の者に対して提供したときは、その旨） 
 ▪ 受領者：当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者氏名 
 ◦ 誰のどのようなデータか 
 ▪ 本人の氏名など
 • 個人識別符号、本人を特定できるID など 
 ▪ 個人データの項目
 • 実際に提供されたデータ 
 • 「当社が有するいずれかの情報」等の記載では該当しないと解される 
 P.138-142


16. 提供者
 
 提供
 年月日
 提供先の
 氏名など
 本人の
 氏名など
 個人データ
 の項目


    本人の同意
 
 
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 
 
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 
 
 受領者
 
 受領
 年月日
 提供元の
 氏名など
 本人の
 氏名など
 個人データ
 の項目
 本人の同意
 取得の経緯
 個人情報保護
 委員会による公表
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 ◯
 ◯
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 ◯
 
 私人
 
 ◯
 ◯
 ◯
 
 ◯
 
 STEP7-4 記録事項
 P.138-142


17. • オプトアウト
 ◦ 提供者、受領者
 ▪ 提供及び受領の年月日 
 • 同意取得がないため本人の同意記録は不要 


    • 送信ログ、受信ログに年月日が出るならログを記録とできる 
 ◦ 受領者
 ▪ 個人情報保護委員会による公表 
 • 提供元のオプトアウト手続きが適正と判断 
 
 STEP7-4 記録事項
 P.138-142


18. 提供者
 
 提供
 年月日
 提供先の
 氏名など
 本人の
 氏名など
 個人データ
 の項目


    本人の同意
 
 
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 
 
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 
 
 受領者
 
 受領
 年月日
 提供元の
 氏名など
 本人の
 氏名など
 個人データ
 の項目
 本人の同意
 取得の経緯
 個人情報保護
 委員会による公表
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 ◯
 ◯
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 ◯
 
 私人
 
 ◯
 ◯
 ◯
 
 ◯
 
 STEP7-4 記録事項
 P.138-142


19. • 本人同意
 ◦ 同意を取得した証拠 
 ▪ 契約書の当該部分
 ▪ Webやアプリケーションの記載内容と同意取得方法 


    STEP7-4 記録事項
 P.138-142


20. 提供者
 
 提供
 年月日
 提供先の
 氏名など
 本人の
 氏名など
 個人データ
 の項目


    本人の同意
 
 
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 
 
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 
 
 受領者
 
 受領
 年月日
 提供元の
 氏名など
 本人の
 氏名など
 個人データ
 の項目
 本人の同意
 取得の経緯
 個人情報保護
 委員会による公表
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 ◯
 ◯
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 ◯
 
 私人
 
 ◯
 ◯
 ◯
 
 ◯
 
 STEP7-4 記録事項
 P.138-142


21. • 私人
 ◦ 個人情報取扱事業者ではないため、同意取得は義務なし 
 ◦ 個人情報取扱事業者ではないため、オプトアウト手続きはできない 
 STEP7-4 記録事項


    P.138-142


22. 提供者
 
 提供
 年月日
 提供先の
 氏名など
 本人の
 氏名など
 個人データ
 の項目


    本人の同意
 
 
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 
 
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 
 
 受領者
 
 受領
 年月日
 提供元の
 氏名など
 本人の
 氏名など
 個人データ
 の項目
 本人の同意
 取得の経緯
 個人情報保護
 委員会による公表
 オプトアウト
 ◯
 ◯
 ◯
 ◯
 
 ◯
 ◯
 本人同意
 
 ◯
 ◯
 ◯
 ◯
 ◯
 
 私人
 
 ◯
 ◯
 ◯
 
 ◯
 
 STEP7-4 記録事項
 P.138-142


23. • 受領者のみに課される記録
 ◦ 取得の経緯
 ▪ 取得先の別、取得行為の態様 
 • 提供者が別の者から個人データを買い取っている場合には売買契約書などを 


    確認する方法
 • 提供者が本人から書面等で当該個人データを直接取得している場合に 
 当該書面等を確認する方法 
 • 提供者による取得の経緯が明示的又は黙示的に示されている、 
 提供者と受領者間の契約書面を確認する方法 
 • 提供者が本人の同意を得ていることを誓約する書面を受け入れる方法 
 • 提供者のホームページで公表されている利用目的、規約等の中に、 
 取得の経緯が記載されている場合において、その記載内容を確認する方法 
 • 本人による同意書面を確認する方法 
 STEP7-4 記録事項
 P.138-142


24. • 個人データの授受の都度、すみやかに記録を作成（原則）
 ◦ 提供者と受領者を明らかにする 
 ◦ 流通する本人と個人データを明らかにする 
 ◦ 取得や第三者提供の手続きを明らかにする

    
 ◦ 授受されているかを証明する 
 STEP7-5 記録の作成方法
 P.142-145


25. STEP7-5 記録の作成方法
 • 一括して記録を作成
 ◦ 一定の期間内に特定の事業者との間で継続的にまたは反復して授受する場合 
 ◦ 継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれる場合 


    ◦ オプトアウトによる第三者提供は対象外 
 • 代替手段による方法
 ◦ 本人との間で個人データを第三者に提供することを含む契約書や確認書 など 
 ◦ オプトアウトによる第三者提供は対象外 
 • 記録事項の省略
 ◦ 複数回にわたって同一「本人」の個人データの授受をする場合において、 
 同一の内容である事項を重複して記録する必要はない 
 P.142-145


26. STEP7-6 記録の保存期間
 • 基本は３年 ◦ 契約書やこれに準じる書類を記録の代替手段とした場合は１年 
 • 一体として記録している場合、保存期間は各記録ごとに異なる
 ◦

    保存期間は個人データごとに３年 
 • データベースを記録とする場合、消去義務との関係に注意
 ◦ 消去：データが利用できないようにする 
 ◦ データ消去すると記録が残らない可能性があるので利用不可フラグなどで対策 
 P.145-146


27. STEP7-7 記録の開示請求
 • 2022年施行の改正で本人からの開示請求対応が義務化
 ◦ これまでは確認と記録のみ義務 
 • 開示対応について検討が必要
 ◦

    個人データを分散して保存 
 ◦ サーバログをデータに紐付けている 
 ◦ 紙の書類で記録・保存 
 • 回答期限や方法など一定の制約が課されている
 • 開示のための書式は未規定
 • 保存期間を過ぎたデータに関しては請求に応じる必要なし
 P.147