Nobody's 法務

略称は「ノバ法」。知財、個人情報、プライバシー、セキュリティあたりを趣味程度に勉強している元企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。なお、本ブログはGoogle Analysticsを利用しています。

令和2年改正個情法ガイドライン案等の個人的メモ

少し時間がたってしまいましたが、令和2年改正個人情報保護法ガイドライン案をざっと読んだので気になるところを少しだけメモしておきます。(パブコメは出し忘れた)

ガイドライン案は以下にて公表されています。

第174回 個人情報保護委員会 |個人情報保護委員会

 以下、主に

からピックアップしてメモを残しておきます。

 

【注意事項】

※本ブログにおけるkanekoのコメントはガイドライン案等ざっと読んだ感想です。深く考察して書いたものでもありませんので、間違った解釈をしている箇所があるかもしれません。ご留意いただいたうえでご覧くださいませ。

※一部、ガイドライン案に加えて、政令規則案のパブコメ結果(以下「政令規則案パブコメ結果」)と佐脇紀代志編著「一問一答 令和2年改正個人情報保護法」(以下「一問一答」)にも言及しています。 

 

 

 

利用目的の特定について

「利用目的は本人にとってわかりやすい表記にせぇよ」ということが書いてあるのですが、以下のとおり、より詳細な補足説明が追加されていました。

 「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
 本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。
 例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。
【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。」

通則編案 27、28ページ

 

情報漏洩時の報告等

委託時の漏えい報告主体

自分用に要点だけメモ。

  • 漏えい等の報告主体は、漏洩した(漏洩のおそれのある)個人データを取扱う個人情報取扱事業者
  • 取扱いを委託している場合には、原則委託元と委託先の双方が報告義務あり
  • ただし、委託先が委託元に通知した場合は委託先は報告義務が免除

 

EUの十分性認定の影響

「そういえば、今回の令和2年改正でEUの十分性認定時の条件になにか影響あるんやろか」と思ったら政令規則案パブコメ結果に以下の言及があることに気づきました。

Q:「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」では「EU又は英国域内から十分性認定に基づき提供を受けた個人データに、GDPR及び英国GDPRそれぞれにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について法第 2 条第 3 項における要配慮個人情報と同様に取り扱うこととする。」と定められている。ここで定められる「性生活、性的指向又は労働組合に関する情報」に関しても、規則案 6 条の 2 第 1 号の報告の対象になるのか。

 

A:御理解のとおりです。

 政令規則案パブコメ結果 No.69

忘れないようにせねば。 

 

個人関連情報について

令和2年改正では、「個人に関する情報だけど、個人情報でも仮名加工情報でも匿名加工情報でもない情報」として個人関連情報が新たに規定されました。

具体的には、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie等が想定されています。

 

長期蓄積による個人関連情報の個人情報該当性

個人関連情報の説明箇所に大変興味深い記載がありました。(太字はkankoによる。以下同じ。)

【個人関連情報に該当する事例(※)】
事例 1)Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴

事例 2)特定の個人を識別できないメールアドレス(abc_123@example.com 等のようにメールアドレス単体で、特定の個人のメールアドレスであることが分からないような場合等)に結び付いた、ある個人の年齢・性別・家族構成等
事例 3)ある個人の商品購買履歴・サービス利用履歴
事例 4)ある個人の位置情報
事例 5)ある個人の興味・関心を示す情報

(※)個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。

通則編案 89、90ページ

長期蓄積による特定個人識別性の問題については、いろんな弁護士の方が懸念事項として言及していたと理解していますが、ついにガイドライン案でも言及されるようになったようです。

「どの程度の蓄積で特定個人識別といえるのか」という問題があるようにも思われますが、セーフティにいくのであれば、「特定のIDで紐づいてデータが長期蓄積されている場合(または特定IDで長期蓄積を想定している場合)は、そのデータを格納しているDB単体で個人情報に該当する可能性がある」という前提で取り扱うのが無難ということになるかと思います。

アドテク領域でよくある、パブリックDMP内のデータの個人情報該当性の議論にも影響してきそうです。

 

個人関連情報提供規制について

提供先で個人データとして取得される前提で個人関連情報を第三者提供する場合には、本人同意が新たに必要になりました。

契約による表明保証の有効性

「提供先で個人データと紐づけない旨を(表明保証的に)契約に入れ込んだ場合についてはどうなんねん」という疑問に関しては以下のように説明されています。

 提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において、提供先の第三者において、提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常、「個人データとして取得する」ことが想定されず、法第 26 条の 2 は適用されない。この場合、提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いの確認まで行わなくとも、通常、「個人データとして取得する」ことが想定されない。もっとも、提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合には、当該事情に応じ、別途、提供先の第三者における個人関連情報の取扱いも確認した上で「個人データとして取得する」ことが想定されるかどうか判断する必要がある。

通則編案 95ページ

今後、データ提供系の契約をまく際にはこういった条項が入ってくるようになるのでしょうか。。。

 

本人同意について

「個人関連情報提供時の本人同意について、包括同意(例:プラポリに入れ込んで同意取得)が可能なのか」という懸念については以下のように説明されています。

本人の同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において、包括的に同意を取得することも可能である。

通則編案 96ページ

仮に包括同意を取得する場合、「個人関連情報の項目」についてどの粒度で記載すべきなのか検討する必要がでてきそうです。(個人データとして取得する個人関連情報は都度データのカラムが変わってくることも多いので、包括同意でどこまでできるのか検討が必要な気がします。)

 

なお、この本人同意について、将来的な個人関連情報の取り扱いも含めて同意取得が可能かという点については、政令規則案パブコメ結果において「(必要な説明を行った上で)可能である」旨が記載されています。(政令規則案パブコメ結果 No.395)

 

同意を取得する主体については、「原則提供先だが、提供元でもOK」であることが明記されていますが、

個人関連情報の提供を受けて個人データとして取得する主体、対象となる個人関連情報の項目、個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が認識できるようにする必要がある。

通則編案 97ページ

ことに注意が必要です。特に、提供先の名称を本人が認識できるようにする必要がある点については留意が必要です。提供元で代理同意を取得する場合には、(継続提供が前提である場合を除き、)都度同意が必要になる気がします。

 

なお、個人関連情報は個人データの時と同じく越境移転規制が別途あるので注意です(通則編案101ページ以降)。検討するときに忘れそう。。。

 

本人同意の確認方法について

個人関連情報提供時の提供元における本人同意の有無の確認方法については以下のように記載されています。

 提供先の第三者において、複数の本人から同一の方式で同意を取得している場合、提供元はそれぞれの本人から同意が取得されていることを確認する必要があるが、同意取得の方法については、本人ごとに個別の申告を受ける必要はなく、複数の本人からどのように同意を取得したか申告を受け、それによって確認を行えば足りる。
 なお、提供先の第三者から提供元の個人関連情報取扱事業者に対する申告に際し、提供先の第三者が法第 26 条の2第1項第1号の同意を取得済みの ID 等を提供する行為は、個人データの第三者提供に該当する場合があるが、法第 26 条の2第1 項の確認行為において必要となる情報のみを提供する場合は、法令に基づく場合(法第 23 条第1 項第1 号)に該当する。

通則編案 100ページ

  前段はともかく、後段の部分は「なんや?」という感じですが、これは個人情報保護委員会が令和2年11月20日に出した「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」に記載された以下部分に起因するものと思われます。(赤枠箇所)

f:id:kanegoonta:20210710182148p:plain

実際の現場では、毎回事前に同意得たIDの提供&突合を行うことは少ないような気がするのでどうなんやろかと思うところです。

 

確認記録について

個人データ提供時やオプトアウト時と比較した分かりやすい表があったのでキャプチャ。

f:id:kanegoonta:20210626184114p:plain

※通則編案 119ページより

 

提供先での記録事項は下記

f:id:kanegoonta:20210626184401p:plain

※通則編案 133ページより

 

個人関連情報と委託

個人関連情報提供規制には個人データのような委託等の例外がありません。この点に関して、ガイドラインで何かしら説明されているのかと思ったのですが、現状ではないようです。(見つけられなかっただけかもしれない)

 

その代わり 政令規則案パブコメ結果には、これに関係する内容がいくつかあったので紹介しておきます。

 

一般的に委託(法第 23 条第5項第1号)に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、改正後の法第 26 条の2の規律は適用されないと考えられます。なお、委託先で独自に取得した個人関連情報を付加した上で、委託元に返す場合には、改正後の法26条の2の規律が適用されると考えられます。

政令規則案パブコメ結果 No.9、425のPPC回答

個人的には、「委託先で独自に個人関連情報を付加する前提で、委託元が委託先に個人データを提供する行為自体が委託の範疇に含まれ得るのか」について回答してほしかったですね。 

 

Q:法制局説明資料によれば、一般的な状況下において、個人関連情報の委託、承継及び共同利用による提供は原則として自由であり、改正法 26条の 2 の規制がかからないと理解されるが、PPC もそのような理解だと考えてよろしいか。

 

A:「一般的な状況下」の内容が不明ですが、提供先において「個人データとして取得することが想定」されない場合には、改正後の法第 26 条の2第1項の適用はないと考えられます。

政令規則案パブコメ結果 No.389

 

Q:(意見)
提供元から個人関連情報を取り扱う業務の一部の委託を受けている場合における委託元から委託先への個人関連情報の提供は個人関連情報の第三者提供には該当しないことをガイドラインに明記いただきたい。

(理由)
個人関連情報においても委託や事業継承による提供が第三者提供にあたらないことは、個人情報と同様となるはずであるが、委託による提供の解釈は特に事業に与えるインパクトが大きいため、明確にしていただきたい。

 

A:個人関連情報の提供につき、法第 23 条第 5 項各号に相当する例外規定はないため、改正後の法第 26 条の2の適用の有無については、提供先において個人データとして取得することが想定されるかどうかによって判断することとなります。

政令規則案パブコメ結果 No.418

 

個人関連情報とアドテク

ガイドラインにはあまりアドテク領域に特化した内容はないのですが、政令規則案パブコメ結果にあったのをメモしておきます。

Q:媒体社がソーシャルプラグイン等第三者のタグを設置してクッキー等を当該第三者に送信する場合、第三者側での直接取得となり、個人関連情報の第三者提供にあたらないという理解でよいか。

 

A:個別の事案ごとに判断することとなりますが、三者のタグを設置した事業者が当該タグにより収集される情報を取り扱っていないのであれば、個人関連情報の第三者提供にあたらないと考えられます。

政令規則案パブコメ結果 No.405

 デスヨネー(*´・З・)

アプリ内SDKでのデータ送信とかにも当てはまる内容でしょうね。

 

仮名加工情報について

仮名加工情報の範囲について

仮名加工情報は、「個人情報に含まれる情報の一部を削除したり置き換えたりといった措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」のことをいいます。

もっというと、「加工後の情報それ自体により特定の個人を識別することができないような個人に関する情報」のことです。

具体的な加工基準が気になるところ、規則では以下の3点が挙げられています。

  1. 特定の個人を識別することができる記述等の削除
  2. 個人識別符号の削除
  3. 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除

仮名加工情報・匿名加工情報編案では(少ないですが)加工例も記載されており、その中で気になった例を以下引用しておきます。

 

「特定の個人を識別することができる記述等の削除」の加工例

f:id:kanegoonta:20210717152624p:plain

※仮名加工情報・匿名加工情報編案 19ページ

上記例で興味深いのは会員IDの削除 or 置き換えが想定されていない点でしょうか。

ちなみに、匿名加工情報と違い仮名加工情報は「特異な記述の削除等」が求められていないのですが、

 加工前の個人情報に含まれる「特異な記述」が、それ自体により、又は他の記述等との組み合わせにより、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物との同一性を認めるに至ることができるものである場合には、当該「特異な記述」は、本規則案第 18 条の7第1号により、加工の対象となります。
 他方、仮名加工情報は、その定義上、他の情報と組み合わせることにより、特定の個人を識別できること自体は許容されていることから、加工前の個人情報に含まれる「特異な記述」が、当該個人情報に含まれる記述等以外の情報と組み合わせない限り、特定の個人を識別できない場合には、当該「特異な記述」は、必ずしも加工が求められるものではないと考えます。

政令規則案パブコメ結果 No.315

という点は留意が必要かと思います。

 

「不正に利用されることにより財産的被害が生じるおそれのある記述等の削除」の加工例

f:id:kanegoonta:20210717152818p:plain

※仮名加工情報・匿名加工情報編案 22ページ

 

なお、上記加工例にはない、電話番号やメールアドレスは削除対象なのか?という疑問に対しては、政令規則案パブコメ結果と一問一答にそれぞれ以下のような記載があります。

 仮名加工情報は、その定義上、他の情報と組み合わせることにより、特定の個人を識別できること自体は許容されています。そのため、御指摘のメールアドレス、電話番号、広告ID、MACアドレス等については、それ自体により、又は他の記述等との組み合わせにより、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物との同一性を認めるに至ることができるものではない限り、必ずしも加工が求められるものではないと考えます。
 この場合でも、加工前の個人情報に係る本人を識別するために、仮名加工情報を他の情報と照合することは禁止されており...(中略)...、また、本人に連絡等をするために仮名加工情報に含まれる連絡先その他の情報を利用することが禁止されていること...(中略)...等に鑑み、仮名加工情報にメールアドレス、電話番号、広告ID、MACアドレス等が含まれることによるリスクは、一定程度低減されていると考えます。

政令規則案パブコメ結果 No.492のPPC回答

 

一般的に、本人到達性のある情報である電話番号やメールアドレスを仮名加工情報に含めて利用することは想定されませんが、「他の情報と照合しない限り特定の個人を識別することができない」との要件を満たす限り、電話番号、住所、メールアドレス等の連絡先が含まれていても、仮名加工情報に該当することとなります。

 一問一答 26ページ

 

また、一問一答(の26ページ)には「例えば仮名加工情報に位置情報が含まれる場合に」とあり、位置情報単体でも仮名加工情報にあたり得る前提で記載されています。

 

このあたりは、前述の「個人関連情報の長期蓄積による個人情報該当性」のところと合わせて考えると大変興味深い部分です。

 

仮名加工情報の利活用について

仮名加工情報は、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されています。

特に内部分析に限定するための行為規制として

  1. 安全管理措置義務
  2. 三者提供禁止義務(委託を除く)
  3. 識別行為の禁止義務
  4. 連絡等禁止義務

が課されています。

4.については、CookieIDを利用した広告配信を含むのですが、以下のように仮名加工情報からアウトプットされた統計情報を利用して広告配信を行うこと自体はOKとなっています。

Q:仮名加工情報を利用して分析し、より有効なダイレクトマーケティングのための知見を得て、それを利用してダイレクトマーケティングを行うことは禁止されないということを明らかにされたい。

 

A:例えば、仮名加工情報を用いて分析を行い、統計を作成した上で、当該統計により得られた傾向等を踏まえて、加工元前の個人情報を利用して広告配信等を行うことは禁止されません。

政令規則案パブコメ結果 No.484

 

仮名加工情報に関するその他

直接的に仮名加工情報の話題ではないのですが、政令規則案パブコメ結果の仮名加工情報の枠で個人的に興味深いQAがあったので載せておきます。

Q:① 個人情報取扱事業者がその保有する個人データについて加工基準に従った加工を行っても、当該個人情報取扱事業者が当該情報を個人情報として扱い続ける限り、仮名加工情報に関する規制は適用されないと理解してよいか。
Q:② 仮名加工情報に関する規制は適用されないとした場合、当該加工後、原データである個人情報を削除した場合、当該加工情報は個人情報としても仮名加工情報としても取り扱わないとすることは可能なのか(法 2 条 9 項、35 条の 2、規則案 18 条の 7)。仮名加工情報自体が、個人の権利利益の侵害を引き起こす可能性が低い情報であるため、かかる整理も可能と思うため、明らかにされたい。

 

A:①御理解のとおりです。...(以下略)...。

A:②上記①により加工した情報について、元データである個人情報を削除した場合において、加工後の情報が、容易に照合できる他の情報と組み合わせることで特定の個人を識別できる状態にない場合には、当該加工後の情報は、個人情報でも仮名加工情報でもない情報になり得ると考えます。

政令規則案パブコメ結果 No.501

 

上記は

個人情報をほぼ仮名化→元の個人情報を削除→残った「ほぼ仮名化した情報」は非個人情報?

というお話だと思います。

PPCの回答は、(残った加工データは)「個人情報でも仮名加工情報でもない情報」となっていますが、実際は個人関連情報に該当する可能性が高いような気がします。仮に加工データを外に出す場合には、個人関連情報の第三者提供規制に留意が必要かと思います。 

 

保有個人データに関する安全管理措置の公表について

令和2年改正によって、個人情報取扱事業者は、保有個人データに関する安全管理措置の内容を本人の知り得る状態にする必要があります。

具体的に何を書いたらいいんや、という疑問に関しては以下のような具体例が記載されていますので参考になりそうです。(長文注意)

【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(※7)
(基本方針の策定)

  • 事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定

(個人データの取扱いに係る規律の整備)

  • 事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定

(組織的安全管理措置)

  • 事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
  • 事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施

(人的安全管理措置)

  • 事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
  • 事例2)個人データについての秘密保持に関する事項を就業規則に記載

(物理的安全管理措置)

  • 事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
  • 事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施

(技術的安全管理措置)

  • 事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
  • 事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

(外的環境の把握)

  • 事例)個人データを保管しているA 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※8)


【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例】(※9)

  • 事例1)個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
  • 事例2)個人データ管理区域の入退室管理方法
  • 事例3)アクセス制御の範囲、アクセス者の認証手法等
  • 事例4)不正アクセス防止措置の内容等

 

~(中略)~

 

(※7)法第 27 条第 1 項第 4 号及び政令第 8 条第 1 号の規定により本人の知り得る状態に置く必要があるのは保有個人データの安全管理のために講じた措置であるが、これに代えて、個人データの安全管理のために講じた措置について本人の知り得る状態に置くことは妨げられない。なお、本ガイドラインでは、個人データの安全管理のために講じた措置についての事例を記載している。
 安全管理措置の事例について、詳細は「7(別添)講ずべき安全管理措置の内容」を参照のこと。ただし、上記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られない。本人の適切な理解と関与を促す観点から、事業の規模及び性質、保有個人データの取扱状況等に応じて、上記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応である。
(※8)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。
(※9)例えば、【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難又は紛失等を防止するための措置を講じる」、「外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえないが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられる。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様等によって様々であり、事業の規模及び性質、保有個人データの取扱状況等に応じて判断され る。

通則編案 140~147ページ

 

保有個人データの開示について

本人から保有個人データの開示請求をうけて開示対応する際に、「そのままのデータの状態(一般人にとっては可読性が著しく低い状態)で開示して問題ないのか」という点について、通則編案では以下のように追記されています。

電磁的記録の提供による方法については、個人情報取扱事業者がファイル形式や記録媒体などの具体的な方法を定めることができるが、開示請求等で得た保有個人データの利用等における本人の利便性向上の観点から、可読性・検索性のある形式による提供や、技術的に可能な場合には、他の事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましい。

通則編案 151ページ

あくまで 「望ましい」ではありますが。。。

 

「個人データ第三者提供時の記録」の開示について

 第三者提供記録 VS 秘密保持契約

令和2年改正から「個人データ第三者提供時の記録」が開示対象になります。(提供記録、受領記録双方)

「個人データ第三者提供時の記録」には、提供元または提供先となる第三者の企業名が含まれますので、開示請求を受けた企業と当該第三者と間で秘密保持契約がある場合に当該第三者の企業名等を開示できるのか(改正法28条2項2号を使って開示を拒否できるのか)という問題がありました。

※例えば、秘密保持契約上の秘密情報の定義に2社間での取引の事実までが含まれている場合等

これに対して、通則編案では以下のように記載されています。

他の事業者と取引関係にあることが契約上秘密情報とされている場合であっても、記録事項そのものを開示することについては、直ちにこれに該当するものではなく、個別具体的に判断する必要がある。

通則編案 161ページ

 思ったよりふわっとした回答ですね。。。結局どう判断したらええねん。

「基本は該当しない(開示が必要)」くらいは言ってほしかったところです。。。

なお、政令規則案パブコメ結果を見ると以下の記載がありました。

他の事業者との契約上秘密情報であるとされていることのみをもって、直ちに第三者提供記録の開示の例外事由に該当するものではないと考えられます。

政令規則案パブコメ結果 No.50

 

令和2年改正法の施行以前の第三者提供記録も開示対象か

政令規則案パブコメ結果をみると、平成27年改正法の施行以降が開示開示対象のようですね。(「みんなすでに適法に記録確認しているはずだよね?それを開示すればいいだけだから」という趣旨なのでしょう。)

平成 27 年改正法の施行後に第 25 条第1項又は法第 26 条第3項に基づいて作成された記録については、開示の対象となります。

政令規則案パブコメ結果 No.43

  

「個人データ第三者提供時の記録」の開示対応をどこまで準備するのか 

ガイドライン案とは全く別で素朴な疑問なんですが、本人から開示請求をうけてスムーズに対応できる会社さんってどれくらいいるのでしょうね。

三者提供の記録を独立したデータベースとしてしっかり構築している企業なら問題ないのでしょうが、今まで「(結構分散しているけど)システムのログとかメールとかで残っていて、人力でかき集めれば必要項目が確認できるので記録としてはOK」って感じで対応してきた企業だといざ開示請求を受けると対応が大変な気がします。

まぁ、現行法での保有個人データの開示請求対応も大変なのですが。。。

最後に、 一問一答の該当箇所を引用します。

 

Q67:事業者に個人データの入手元と提供先を把握させ、本人への開示を義務付けるのは、過度な負担となりませんか。

 

A:

1 改正前の本法においても、個人データの流通に係るトレーサビリティを確保する観点から、既に第三者提供時の確認・記録が義務付けられており、個人情報取扱事業者は、個人情報保護委員会が提出を求めた場合に、これを提出できるようにしておく必要があります。

2 今回の改正は、本人から請求があった場合には、本人に対しても第三者提供記録を開示することを求めるものであり、個人情報取扱事業者が確認・記録すべき範囲は、改正前の本法と同様です。・・・(中略)・・・

3 したがって、今回の改正により義務付けられる第三者提供記録の開示は、改正前の本法においても作成している記録の開示を求めるものであり、事業者にとって過度な負担になるものではありません。

 一問一答 79ページ

 

 

( ¨)遠い目