3.個人情報取扱事業者等の義務
3-3 個人情報の取得 (法第20条・第21条関係) |
3-5-1 「漏えい等」の考え方 |
3-6 個人データの第三者への提供 (法第27条~第30条関係) |
3-6-2 オプトアウトによる第三者提供 (法第27条第2項~第4項関係) |
3-6-2-2 オプトアウトに関する事項の変更及び個人データの提供をやめた場合 (法第27条第3項関係) |
3-7-2 本人の同意の取得方法 |
3-7-3 本人の同意等の確認の方法 (法第31条第1項関係) |
3-7-3-1 個人データとして取得することを認める旨の本人の同意を得られていること (法第31条第1項第1号、規則第26条第1項関係) |
3-7-3-2 外国にある第三者への提供にあっては、必要な情報が当該本人に提供されていること (法第31条第1項第2号、規則第26条第2項関係) |
3-7-4-2 記録を作成する方法 |
3-7-4-3 提供元における記録事項 (規則第28条関係) |
3-7-6-2 記録を作成する方法 |
3-7-6-3 提供先の第三者における記録事項 (規則第24条関係) |
3-8 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等 (法第32条~第39条関係) |
3-8-1 保有個人データに関する事項の公表等 (法第32条関係) |
3-8-3 第三者提供記録の開示 (法第33条第5項、第1項~第3項関係) |
3-8-5 保有個人データの利用停止等 (法第35条関係) |
3-1 個人情報の利用目的 (法第17条、第18条、第21条第3項関係)
3-1-1 利用目的の特定 (法第17条第1項関係)
事業者は、個人情報を取扱うにあたっては、利用目的をできる限り具体的に特定しなければならない。(1)利用目的の特定にあたっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。(※1)(※2)
(2)あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定にあたっては、その旨が明確に分かるよう特定しなければならない(3-6-1第三者提供の制限の原則 参照)。
【具体的に利用目的を特定している事例】 事例1)「こころの会入会申込用紙にご記入いただく個人情報は、葬祭サービスの提供及び葬祭関連商品の発送、アフターサービス、新商品・その他サービスに関する情報のお知らせのために利用いたします。」 事例2)「葬儀打合せにおいてご提供いただいた氏名・住所・電話番号等は、ご依頼を受けた葬儀を滞りなく執り行うために利用いたします。その他の目的で利用する場合は事前にご了解を得た場合のみ利用いたします。」 事例3) 「葬儀において当社が知り得た個人情報は、葬儀を滞りなく執り行うために利用するほか、法事など関連した当社グループの各種サービスのご案内等に利用させていただきます。」 事例4) 「ご記入いただいた、氏名、住所、電話番号は、当社の取引先である仏壇仏具店、生花店、料理店及び返礼ギフト販売会社に提供することがあります。」 |
【具体的に利用目的を特定していない事例】 事例1)「当社の事業活動に使用するため」 事例2)「当社の提供するサービスの向上のため」 事例3)「当社のマーケティング活動に使用するため」 |
(※1)本人が、自らの個人情報がどのように取扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。 (※2)定款等に規定されている事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や、業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあるが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならない。なお、利用目的の特定に当たり「葬祭事業」のように事業を明示する場合についても、社会通念上、本人からみて特定ができると認められる範囲に特定することが望ましい。また、単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならない。 |
3-1-2 利用目的の変更 (法第17条第2項、第21条第3項関係)
特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲で、変更後の利用目的が変更前の利用目的からみて社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内(※1)で変更することは可能である。変更された利用目的は、本人に通知するか、又は公表しなければならない(2-14本人に通知、2-15公表 参照)。
(1)特定された利用目的の達成に必要な範囲を超えて個人情報を取扱う場合は、あらかじめ本人の同意を得なければならない。
(2)本人の身体等の保護のために必要があり、かつ本人の同意を得ることが困難である場合等、法に定めてある場合には、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができる(3-1-5利用目的による制限の例外 参照)。
(3)当初の利用目的として記載されていない場合でも、本人の同意を得るためにメールの送信や電話をかけること等は、目的外利用には該当しない。
(4)「当社の行う葬祭事業における新商品・サービスに関する情報を電子メールにより送信することがあります。」とした利用目的において、「郵便及びFAXによりお知らせすることがある」旨を追加することは許容される。
【同意が必要な事例】 事例1) 就職のための履歴書情報をもとに、自社取扱商品のカタログ等を送る場合 事例2) 事前相談で収集された情報をもとに、自社商品、法事等のパンフレットを送る場合 事例3) 電話で供物の受注を受けた際に取得した個人情報を自社の商品案内等に利用する場合 |
(※1) 「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。 |
3-1-3 利用目的による制限 (法第18条第1項関係)
事業者は、特定した利用目的の達成に必要な範囲を超えて、個人情報を取扱う場合は、あらかじめ本人の同意を得なければならない。ただし、当該同意を得るために、個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しない。
(1)法に定めてある場合については、特定された利用目的の達成に必要な範囲を超えて個人情報を取扱うにあたり本人の同意を得ることが求められる場合であっても、当該同意は不要である(3-1-5利用目的による制限の例外 参照)。
(2)令和3年改正法の施行日前に、法別表第2に掲げる法人、法第58条第2項の規定により個人情報取扱事業者、仮名加工情報取扱事業者もしくは個人関連情報取扱事業者とみなされる独立行政法人労働者健康安全機構又は学術研究機関等である個人情報取扱事業者(以下、「別表第二法人等」という。)に対して、本人から個人情報の取扱いに関する同意がある場合において、その同意が法第17条第1項の規定により特定される利用目的以外の目的で個人情報を取扱うことを認める旨の同意に相当するものであるときは、令和3年改正法の施行日において法第18条第1項の同意があったものとみなされる。
3-1-4 事業の承継 (法第18条第2項関係)
事業者が、合併、分社化、事業譲渡等により他の個人情報取扱事業者から事業の承継をすることに伴って個人情報を取得した場合であって、当該個人情報に係る承継前の利用目的の達成に必要な範囲内で取り扱う場合は目的外利用にはならず、本人の同意を得る必要はない。
(1)事業の承継後に、承継前の利用目的の達成に必要な範囲を超えて、個人情報を取扱う場合は、あらかじめ本人の同意を得る必要があるが、当該同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、承継前の利用目的として記載されていない場合でも、目的外利用には該当しない。
(2)事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合には、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
(3)令和3年改正法の施行日前に、別表第二法人等に対して、本人から個人情報の取扱いに関する同意がある場合において、その同意が法第17条第1項の規定により特定される利用目的以外の目的で個人情報を取扱うことを認める旨の同意に相当するものであるときは、令和3年改正法の施行日において法第18条第2項の同意があったものとみなされる。
3-1-5 利用目的による制限の例外 (法第18条第3項関係)
次に掲げる1)から6)の場合については、特定された利用目的の達成に必要な範囲を超えて個人情報を取扱うにあたり本人の同意を得ることが求められる場合であっても、当該同意は不要である。
1)法令に基づく場合
・ 法令に基づく場合は、法の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取扱うことができる。
【具体的な事例】 事例1)警察の捜査関係事項照会に対応する場合 事例2)裁判官の発する令状に基づく捜査に対応する場合 事例3)税務署の所得税等に関する調査に対応する場合 事例4)弁護士会からの照会に対応する場合 事例5)保健所が行う積極的疫学調査に対応する場合 事例6)災害発生時の停電復旧対応の迅速化等のため、経済産業大臣の求めに応じて、一般送配電事業者が関係行政機関又は地方公共団体の長に対して必要な情報を提供する場合 |
2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
・ 人(法人を含む。)の生命、身体又は財産等、具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、法の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取扱うことができる。
【具体的な事例】 事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合 事例2)大規模災害や事故等の緊急時に、被災者・負傷者の情報等を家族、行政機関、地方自治体等に提供する場合 事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合 事例4)製造した商品に関連して事故が生じたため、又はそのおそれがあり、人の生命もしくは身体に危害を及ぼす急迫した危険が存在するため、製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が製造事業者等に対して、当該商品の購入者等の情報を提供する場合 事例5)上記、事例4)のほか、商品に重大な欠陥があり人命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合 事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために他の事業者に提供する場合 |
【具体的な事例】 事例1) 健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合 事例2) 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合 事例3) 児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合 |
【具体的な事例】 事例1) 事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合 事例2) 事業者が警察の任意の求めに応じて個人情報を提出する場合 事例3) 一般統計調査や地方公共団体が行う統計調査に回答する場合 |
(※1)学術研究機関等については、「2-18学術研究機関等」を参照。 (※2)「個人の権利利益を不当に侵害するおそれがある場合」には、学術研究機関等に個人情報を提供することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずる等適切に処理する必要がある。この点、学術研究目的で個人データを取扱う必要があって、学術研究機関等に個人データを提供する場合であっても、提供する個人データの範囲を限定する等、学術研究の目的に照らして可能な措置を講ずることが望ましい。 |
3-2 不適正利用の禁止 (法第19条関係)
事業者は、違法又は不当な行為(※1)を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(1)「おそれ」の有無は、事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断される。
(2)この判断にあたっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における事業者の認識及び予見可能性も踏まえる必要がある。
(3)事業者が第三者に個人情報を提供した場合において、当該第三者が違法な行為に用いた場合であっても、取得目的を偽っていた等、提供の時点において、提供した個人情報が違法に利用されることについて、当該事業者が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと解される。
【事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】 事例1)個人情報を提供した場合、提供先において法に違反する第三者提供がなされることを予見できるにもかかわらず、個人情報を提供する場合 事例2)採用選考を通じて個人情報を取得した事業者が、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合 事例3)広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法な商品であることが予見できるにもかかわらず、広告配信のために、自社で取得した個人情報を利用する場合 事例4)違法な行為を営むことが疑われる事業者(貸金業登録を行っていない貸金業者等)により本人の平穏な生活を送る権利の侵害等、違法な行為が想定されるにもかかわらず、個人情報を提供する場合 事例5)裁判所の公告等により公開されている個人情報(官報掲載の破産者情報等)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることを予見できるにもかかわらず、データベース化し、インターネット上で公開する場合 事例6)暴力団員や総会屋による不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合 |
(※1) 「違法又は不当な行為」とは、法その他の法令に違反する行為、及び直ちに違法とはいえないものの、法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。 |
3-3 個人情報の取得 (法第20条・第21条関係)
3-3-1 適正取得 (法第20条第1項関係)
事業者は、偽り等の不正の手段により個人情報を取得(※1)してはならない。(※2)
【事業者が不正の手段により個人情報を取得している事例】 事例1)十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情等の家族の個人情報を、家族の同意なく取得する場合 事例2)個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合 事例3)他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合 事例4)不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合 事例5)法に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合 事例6)法に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合 |
(※1)個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報を取得しているとは解されない。 (※2)事業者もしくはその従業者又はこれらであった者が、その業務に関して取扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法により刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得る。 |
3-3-2 要配慮個人情報の取得 (法第20条第2項関係)
事業者は、要配慮個人情報(※1)を取得する場合には、あらかじめ本人の同意を得なければならない。
(1)事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該事業者が当該情報を取得することについて本人の同意があったものと解される。
(2)事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該事業者が、改めて本人から同意を得る必要はないものと解される。
(3)次の1)から9)までに掲げる場合については、本人の同意を得る必要はない。
(※1) 「要配慮個人情報」については、「2-3要配慮個人情報」を参照。なお、要配慮個人情報の第三者提供には、原則として本人の同意が必要であり、オプトアウトによる第三者提供は認められていないので、注意が必要である(3-6-1第三者提供の制限の原則、3-6-2オプトアウトによる第三者提供 参照)。 |
1)法令に基づく場合
・ 法令に基づく場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。なお、具体的な事例は、「3-1-5利用目的による制限の例外」に示すもののほか、次の事例も該当する。
【具体的な事例】 事例) 事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合 |
【具体的な事例】 事例1)急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合 事例2)事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合 事例3)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合 |
3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
・ 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
【具体的な事例】 事例1) 保険者等が実施する健康診断等の結果、判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合 事例2) 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合 事例3) 児童虐待のおそれのある家庭情報のうち、被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合 |
4)国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、民間企業等が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
・ 国の機関等(地方公共団体又はその委託を受けた者を含む。)が政令の定める事務を実施する上で、事業者の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該事業者は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
【具体的な事例】 事例) 事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合 |
5)当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取扱う必要があるとき(当該要配慮個人情報を取扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
・ 学術研究機関等が要配慮個人情報を学術研究目的で取扱う必要がある場合(当該要配慮個人情報を取扱う目的の一部が学術研究目的である場合を含む。)であって、個人の権利利益を不当に侵害するおそれがない場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
6)学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)
・ 事業者が、要配慮個人情報を学術研究目的で取得する必要があり、かつ当該事業者と共同して学術研究を行う学術研究機関等から当該要配慮個人情報を取得する場合(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。(※1))は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
(※1) 「個人の権利利益を不当に侵害するおそれがある場合」には、要配慮個人情報を取得することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずる等適切に処理する必要がある。この点、学術研究目的で要配慮個人情報を取扱う必要がある場合であっても、本人又は第三者の権利利益の保護の観点から取得する要配慮個人情報の範囲を限定する等、学術研究の目的に照らして可能な措置を講ずることが望ましい。 |
7)当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法に定める者その他個人情報保護委員会規則で定める者により公開されている場合
・ 要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく、当該公開されている要配慮個人情報を取得することができる。
① 本人
② 国の機関
③ 地方公共団体
④ 学術研究機関等
⑤ 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む。)
⑥ 著述を業として行う者
⑦ 宗教団体
⑧ 政治団体
⑨ 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
⑩ 外国において法に掲げる者に相当する者
8)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
・ 本人の意思にかかわらず、本人の外形上の特徴により、要配慮個人情報に含まれる事項(身体障害等)が明らかであるときは、あらかじめ本人の同意を得ることなく、当該要配慮個人情報を取得することができる。
【具体的な事例】 事例) 身体の不自由な方が会館に来館し、対応したスタッフがその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が会館に設置された防犯カメラに映りこんだ場合(撮影による取得) |
【法第20条第2項に違反している事例】 本人の同意を得ることなく、法第20条第2項第7号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。 |
3-3-3 利用目的の通知又は公表 (法第21条第1項関係)
事業者は、個人情報を取得する場合は、あらかじめその利用目的を公表しなくてはならない。公表していない場合は、取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければならない(2-14本人に通知、2-15公表 参照)。また、事業者は、本人以外から間接的に取得する場合を含めて、法に準じ、原則的に本人に対し利用目的を通知または公表しなくてはならない。
【本人への通知又は公表が必要な事例】 事例1)インターネット上で本人が自発的に公にしている個人情報を取得する場合(単に閲覧するだけの場合を除く。) 事例2)インターネット、官報、職員録、同窓会名簿等から個人情報を取得する場合(単に閲覧するだけの場合を除く。) 事例3)個人情報の第三者提供を受けた場合 |
3-3-4 直接書面等による取得 (法第21条第2項関係)
事業者は、契約書や懸賞応募ハガキ等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示(※1)しなければならない。
(1)申込書、アンケート調査票、懸賞応募ハガキ等のように、事業者が一定の書式や様式を準備した上で、記載された本人の個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(2)名刺等は、自身の個人情報を本人の自発的な意思で相手に任意の簡便な形式により相手に提供するものであり、本人が当該事業者の求めに沿う形で個人情報を提供する場合とは異なることから、義務を課するものではないが、その場合は、あらかじめ利用目的を公表するか、取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければならない(通知等をしなくてよい場合を除く(3-3-5利用目的の通知等をしなくてよい場合 参照)。)。口頭により個人情報を取得する場合についても同様である。
(3)人(法人を含む。)の生命、身体又は財産の保護のために緊急に必要がある場合は、あらかじめ、本人に対し、その利用目的を明示する必要はないが、その場合は取得後速やかにその利用目的を、本人に通知し、又は公表しなければならない(3-3-3利用目的の通知又は公表 参照)。
【あらかじめ、本人に対し、その利用目的を明示しなければならない事例】 事例1)本人の個人情報が記載された、こころの会入会申込用紙・契約書等を本人から直接取得する場合 事例2)お客様アンケートに記載された個人情報を直接本人から取得する場合 事例3)会報誌、小冊子等の懸賞の応募ハガキに記載された個人情報を直接本人から取得する場合 事例4)自社が主催する終活セミナーへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合 |
【利用目的の明示に該当する事例】 事例1)利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合 ・ 契約約款又は利用条件等の書面(電磁的記録を含む。)中に利用目的条項を記載する場合は、裏面約款に利用目的が記載されていることを伝える、又は、裏面約款等に記載されている利用目的条項を表面にも記載し、かつ、社会通念上、本人が認識できる場所及び文字の大きさで記載する等、本人が実際に利用目的を確認できるよう留意することが望ましい。 事例2)ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合 ・ ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるようその配置に留意することが望ましい。 |
(※1)「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱い状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。 |
3-3-5 利用目的の通知等をしなくてよい場合 (法第21条第4項関係)
次に掲げる1)から4)の場合については、利用目的の本人への通知、公表又は明示(以下、「利用目的の通知等」という。)が求められる場合であっても、当該利用目的の通知等は不要である(2-14本人に通知、2-15公表、3-3-4直接書面等による取得 参照)。
1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
・ 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合は、当該利用目的の通知等は不要である。
【具体的な事例】 事例) 児童虐待等に対応するために、児童相談所、学校、医療機関等の関係機関において、ネットワークを組んで対応する場合に、加害者である本人に対して当該本人の個人情報の利用目的を通知・公表することにより、虐待を悪化させたり、虐待への対応に支障等が生じたりするおそれがある場合 |
2)利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合
・ 利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合は、当該利用目的の通知等は不要である。
【具体的な事例】 事例)暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合 |
3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
・ 国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人に対する利用目的の通知等により当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、当該利用目的の通知等は不要である。
【具体的な事例】 事例)警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される事業者に限って提供した場合において、警察から当該個人情報を受け取った当該事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合 |
4) 取得の状況からみて利用目的が明らかであると認められる場合
・ 取得の状況からみて利用目的が明らかであると認められる場合は、当該利用目的の通知等は不要である。
【具体的な事例】 事例1)商品・サービス等を販売・提供するにあたって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合 事例2) 名刺を交換して、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得する場合で、その利用目的が今後の連絡や、電子メールを送付するという利用目的であるような場合 |
3-4 個人データの管理 (法第22条~第25条関係)
3-4-1 データ内容の正確性の確保等 (法第22条関係)
事業者は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。
(1)保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すればよい。
(2)事業者は、保有する個人データについて、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等、利用する必要がなくなったときは、当該個人データを遅滞なく消去(※1)するよう努めなければならない。(法令の定めにより保存期間等が定められている場合を除く。)
【個人データについて利用する必要がなくなったときに該当する事例】 事例1)会報誌、小冊子等の懸賞品送付のため、応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合 事例2)会員等が葬儀を終えた後、再入会等がなく、法事等の通知を発送したところ、宛名に住んでいないことが判明した場合 |
(※1) 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。 |
3-4-2 安全管理措置 (法第23条関係)
事業者は、その取扱う個人データの漏えい、滅失又は、毀損(以下、「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならない。
(1)当該措置は、個人データが漏えい等した場合に、本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱い状況(取扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
(2)具体的に講じなければならない措置や当該措置を実践するための手法の例等については、「5.講ずべき安全管理措置の内容」を参照。
【必要かつ適切な安全管理措置を講じているとはいえない場合の事例】 事例1)公開されることを前提としていない個人データ(購買履歴、会員等の曙好・属性情報、決済関連情報等)が事業者のウェブ画面上で不特定多数に公開されている状態を事業者が放置している場合 事例2)組織変更が行われ、個人データにアクセスする必要がなくなった従業者が個人データにアクセスできる状態を事業者が放置していた場合で、当該従業者が個人データを漏えいした場合 事例3)会員等が継続的にサービスを受けるために登録していた個人データが、システム障害により破損したが、採取したつもりのバックアップも破損しており、個人データを復旧できずに滅失又は、毀損し、会員等がサービスの提供を受けられなくなった場合 事例4)個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏えいした場合 事例5)個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態になっており、その媒体が持ち出されてしまった場合 事例6)情報システム更新時に実データをシステム・テストに利用し、その後のデータ回収・管理を怠った場合 |
3-4-3 従業者の監督 (法第24条関係)
事業者は、従業者に個人データを取扱わせるにあたって、安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。
(1)個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱い状況(取扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取扱う従業者に対する教育、研修等の内容及び頻度を充実させる等、必要かつ適切な措置を講じなくてならない。
(2)従業者とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
【従業者に対して必要かつ適切な監督を行っていない事例】 事例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合 事例2)内部規程等に違反して、個人データの入ったノート型パソコン又はUSBが繰り返し持ち出されていれていたにもかかわらず、その行為を放置した結果、当該パソコン又はUSBが紛失し、個人データが漏えいした場合 |
3-4-4 委託先の監督 (法第25条関係)
事業者は、個人データの取扱いの全部又は一部を委託(※1)する場合は、委託を受けた者(以下、「委託先」という。)において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。
(1)事業者は、自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする。(※2)
(2)委託する業務内容に対して必要のない個人データは提供しないようにするとともに、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に、本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱い状況(取扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の1)から3)までに掲げる必要かつ適切な措置を講じなければならない。(※3)
1)適切な委託先の選定
・ 委託先の選定にあたっては、委託先の安全管理措置が、少なくとも法及び委員会ガイドラインで事業者(委託元)に求められるものと同等であることを確認するため、「5.講ずべき安全管理措置の内容」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
2)委託契約の締結
・ 委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、事業者(委託元)、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱い状況を事業者(委託元)が合理的に把握することを盛り込むこととする。
3)委託先における個人データ取扱い状況の把握
・ 委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
① 委託先が再委託を行おうとする場合は、委託を行う場合と同様、事業者(委託元)は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱い方法等について、委託先から事前報告を受け又は承認を行うこと
② 委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して監督を適切に果たすこと
③ 再委託先が安全管理措置を講ずることを十分に確認すること(※4)
④ 再委託先が再々委託を行う場合以降も、再委託を行う場合と同様
【委託を受けた者に対して必要かつ適切な監督を行っていない事例】 事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱い状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求める等の必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合 |
【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】 ① 委託元および委託先の責任の明確化 ② 個人データの安全管理に関する事項 ・ 個人データの漏えい防止、盗用禁止に関する事項 ・ 委託契約範囲外の加工、利用の禁止 ・ 委託契約範囲外の複写、複製の禁止 ・ 委託契約期間 ・ 委託契約終了後の個人データの返還・消去・廃棄に関する事項 ③ 再委託に関する事項 ・ 再委託を行うに当たっての委託元への文書による報告 ④ 個人データの取扱状況に関する委託元への報告の内容および頻度 ⑤ 契約内容が遵守されていることの確認(情報セキュリティ監査なども含まれる。) ⑥ 契約内容が遵守されなかった場合の措置 ⑦ セキュリティ上の事件・事故が発生した場合の報告・連絡に関する事項 |
(※1) 「個人データの取扱いの委託」とは、契約の形態・種類を問わず、事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。 (※2) 事業者(委託元)が、法が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、委託先は、法が求める水準の安全管理措置を講じれば足りると解される。 (※3) 委託先の選定や委託先における個人データ取扱い状況の把握にあたっては、委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、必要に応じて個人データを取扱う場所に赴く又はこれに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられる。 (※4) 事業者(委託元)が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の事業者(委託元)による法違反と判断され得るので、再委託をする場合は注意を要する。 |
3-5 個人データの漏えい等の報告等 (法第26条関係)
3-5-1 「漏えい等」の考え方
3-5-1-1 「漏えい」の考え方
個人データの「漏えい」とは、個人データが外部に流出することをいう。
(1)個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。
(2)事業者が自らの意図に基づき個人データを第三者に提供する場合は、漏えいに該当しない。ただし、個人データの第三者への提供に当たり、事業者は原則としてあらかじめ本人の同意を取得する必要がある。
【個人データの漏えいに該当する事例】 事例1) 個人データが記載された書類を第三者に誤送付した場合 事例2) 個人データを含むメールを第三者に誤送信した場合 事例3) システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合 事例4) 個人データが記載又は記録された書類・媒体等が盗難された場合 事例5) 不正アクセス等により第三者に個人データを含む情報が窃取された場合 |
3-5-1-2 「滅失」の考え方
個人データの「滅失」とは、個人データの内容が失われることをいう。
(1)滅失の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しない。
(2)事業者が合理的な理由により個人データを削除する場合は、滅失に該当しない。【】
【個人データの滅失に該当する事例】 事例1) 個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合(※1) 事例2) 個人データが記載又は記録された書類・媒体等を社内で紛失した場合(※2) |
(※1) 当該帳票等が適切に廃棄されていない場合には、個人データの漏えいに該当する場合がある。 (※2) 社外に流出した場合には、個人データの漏えいに該当する。 |
3-5-1-3 「毀損」の考え方
個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。
(1)次の事例2)及び事例3)の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しない。
【個人データの毀損に該当する事例】 事例1) 個人データの内容が改ざんされた場合 事例2) 暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合 事例3) ランサムウェア等により個人データが暗号化され、復元できなくなった場合(※1) |
(※1) 同時に個人データが窃取された場合には、個人データの漏えいにも該当する。 |
3-5-2 漏えい等事案が発覚した場合に講ずべき措置
事業者は、漏えい等又はそのおそれのある事案(以下、「漏えい等事案」という。)が発覚した場合は、漏えい等事案の内容等に応じて、次の1)から5)に掲げる事項について必要な措置を講じなければならない。
1)事業者内部における報告及び被害の拡大防止
・ 責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
2)事実関係の調査及び原因の究明
・ 漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
3)影響範囲の特定
・ 上記2)の調査及び原因の究明で把握した事実関係による影響範囲の特定のために必要な措置を講ずる。
4) 再発防止策の検討及び実施
・ 上記2)の調査及び原因の究明の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる。
5) 個人情報保護委員会への報告及び本人への通知
・ 漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい(3-5-3個人情報保護委員会への報告、3-5-4本人への通知 参照)。
3-5-3 個人情報保護委員会への報告 (法第26条第1項関係)
3-5-3-1 報告対象となる事態
事業者は、その取扱う個人データの漏えい等その他個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
(1)当該事業者が、他の事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、規則で定めるところにより、当該事態が生じた旨を当該他の業者又は行政機関等に通知したときは、個人情報保護委員会への報告を要しない。
(2)漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、 「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
(3)事業者は、次の1)から4)までに掲げる事態(以下、「報告対象事態」という。)を知ったときは、個人情報保護委員会に報告しなければならない(※1)(※2)。
1) 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第1号関係)
【報告を要する事例】 事例1)病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合 事例2)従業員の健康診断等の結果を含む個人データが漏えいした場合 |
2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第2号関係)
・ 財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する確率性を考慮して判断する。
【報告を要する事例】 事例1)電子商取引からクレジットカード番号を含む個人データが漏えいした場合 事例2)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合 |
3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第3号関係)
・ 「不正の目的をもって」漏えい等を発生させた主体には、第三者のみならず、従業者も含まれる。
【報告を要する事例】 事例1)不正アクセスにより個人データが漏えいした場合(※3) 事例2)ランサムウェア等により個人データが暗号化され、復元できなくなった場合 事例3)個人データが記載又は記録された書類・媒体等が盗難された場合 事例4)従業者が会員等の個人データを不正に持ち出して第三者に提供した場合(※4) |
4)個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態(規則第7条第4号関係)
①「個人データに係る本人の数」は、当該事業者が取扱う個人データのうち、漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数をいう。
②「個人データに係る本人の数」について、事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で規則第7条第4号に該当することになる。
③ 本人の数が確定できない漏えい等において、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、規則第7条第4号に該当する。
【報告を要する事例】 事例)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合 |
(※1)報告対象事態に該当しない漏えい等事案であっても、事業者は個人情報保護委員会に任意の報告をすることができる。 (※2)報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに確率性を考慮して判断することになる。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する。 (※3)サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば次の(ア)から(エ)が考えられる。 (※4)従業者による個人データの持ち出しの事案について、「漏えい」が発生したおそれがある事態に 該当し得る事例としては、例えば、個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。 (ア) 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合 (イ) 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合 (ウ) マルウェアに感染したコンピューターに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDN(サブドメイン名及びドメイン名からなる文字列であり、ネットワーク上のコンピューター(サーバ等)を特定するもの。)への通信が確認された場合 (エ) 不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合 (※4)従業者による個人データの持ち出しの事案について、「漏えい」が発生したおそれがある事態に 該当し得る事例としては、例えば、個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。 |
3-5-3-2 報告義務の主体
漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取扱う事業者である。
(1)個人データの取扱いを委託している場合においては、事業者(委託元)と委託先の双方が個人データを取扱っていることになるため、報告対象事態に該当する場合には、原則として事業者(委託元)と委託先の双方が報告する義務を負う。この場合、事業者(委託元)及び委託先の連名で報告することができる。
(2)委託先が、報告義務を負っている事業者(委託元)に当該事態が発生したことを通知したときは、委託先は報告義務を免除される(3-5-3-5委託元への通知による例外 参照)。
(3)事業者(委託元)から委託先にある個人データ(個人データA)の取扱いを委託している場合であって、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、事業者(委託元)において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、事業者(委託元)のみが報告義務を負うことになる。
3-5-3-3 速報 (規則第8条第1項関係)
事業者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければならない。
(1)個人情報保護委員会が、報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告する。
(2)報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されるが、事業者においては、いずれかの部署が当該事態を知った時点を基準とする。
(3)「速やか」の日数の目安については、個別の事案によるものの、事業者が当該事態を知った時点から概ね3~5日以内とする。
(4)事業所管大臣に報告する場合の報告期限は、個人情報保護委員会に報告する場合と同様である。
(5)個人情報保護委員会への漏えい等報告については、次の1)から9)までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告する。
1)「概要」
・ 当該事態の概要について、発生日、発覚日、発生事案、発見者、規則第7条各号該当性、委託元及び委託先の有無、事実経過等を報告する。
2)「漏えい等が発生し、又は発生したおそれがある個人データの項目」
・ 漏えい等が発生し、又は発生したおそれがある個人データの項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
3)「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
・ 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数について報告する。
4)「原因」
・ 当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。
5)「二次被害又はそのおそれの有無及びその内容」
・ 当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。
6)「本人への対応の実施状況」
・ 当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
7)「公表の実施状況」
・ 当該事態に関する公表の実施状況について報告する。
8)「再発防止のための措置」
・ 漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
9)「その他参考となる事項」
・ 上記の1)から8)までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。
3-5-3-4 確報 (規則第8条第2項関係)
事業者は、報告対象事態を知ったときは、速報に加え(※1)、30日以内(規則第7条第3号の事態においては60日以内。同号の事態に加え、同条第1号、第2号又は第4号の事態にも該当する場合も60日以内。)に個人情報保護委員会(個人情報保護委員会が報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)に報告しなければならない。
(1)30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましい。
(2)報告期限の起算点となる「知った」時点については、速報と同様に、事業者において、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定(※2)にあたっては、その時点を1日目とする。
(3)確報においては、「3-5-3-3速報」1)から9)までに掲げる事項の全てを報告しなければならない。
(4)確報を行う時点(報告対象事態を知った日から30日以内又は60日以内)において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとする。
(※1)速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる。 (※2)確報の報告期限(30日以内又は60日以内)の算定にあたっては、土日・祝日も含める。ただし、30日目又は60日目が土日、祝日又は年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とする。 |
3-5-3-5 委託元への通知による例外 (規則第9条関係)
委託先(事業者が個人データの取扱いを委託している場合)は、個人情報保護委員会(個人情報保護委員会が報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)への報告義務を負っている事業者(委託元)に対し、「3-5-3-3速報」1)から9)までに掲げる事項のうち、その時点で把握しているものを通知したときは、報告義務を免除される。
(1)事業者(委託元)への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければならない。
(2)「速やか」の日数の目安については、個別の事案によるものの、委託先が当該事態の発生を知った時点から概ね3~5日以内とする。
(3)この場合、委託先から通知を受けた事業者(委託元)が報告をすることになる。
(4)事業者(委託元)は、通常、遅くとも委託先から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければならない。
(5)通知を行った委託先は、事業者(委託元)から報告するにあたり、事態の把握を行うとともに、必要に応じて事業者(委託元)の漏えい等報告に協力することが求められる。
3-5-4 本人への通知 (法第26条第2項関係)
事業者(規定による通知をした者を除く。)は、その取扱う個人データの漏えい等その他個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、本人に対し、当該事態が生じた旨を通知しなければならない。
(1)本人への通知が困難な場合であって、本人の権利利益を保護するため必要な場合は、これに代わるべき措置をとることができる。
(2)事業者は、通知をする場合には、法に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、法に定める事項を通知しなければならない。
3-5-4-1 通知対象となる事態及び通知義務の主体
事業者は、報告対象事態を知ったときは、本人への通知を行わなければならない。
(1)通知義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取扱う事業者である。
(2)個人データの取扱いを委託している場合において、委託先が、報告義務を負っている事業者(委託元)に「3-5-3-3速報」1)から9)までに掲げる事項のうち、その時点で把握しているものを通知したときは、委託先は報告義務を免除されるとともに、本人への通知義務も免除される。
3-5-4-2 通知の時間的制限
事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければならない。
(1)「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される確率性、本人への通知を行うことで生じる弊害等を勘案して判断する。
(2)次の事例1)及び事例2)の場合であっても、「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはない。
【その時点で通知を行う必要があるとはいえないと考えられる事例】 事例1)インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合 事例2)漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合 |
3-5-4-3 通知の内容
本人へ通知すべき事項については、漏えい等報告における報告事項のうち、「概要」、「漏えい等が発生し、又は発生したおそれがある個人データの項目」、「原因」、「二次被害又はそのおそれの有無及びその内容」及び「その他参考となる事項」(3-5-3-3速報 参照)(※1)に限られている。
(1)報告事項が全て判明するまで本人への通知をする必要がないというものではなく、本人への通知は、「当該事態の状況に応じて速やかに」行う必要がある(3-5-4-2通知の時間的制限 参照)。
(2)本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものである。
(3)本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、当初報告対象事態に該当すると判断したものの、その後実際には報告対象事態に該当していなかったことが判明した場合には、本人への通知は不要である。
【本人の権利利益を保護するために必要な範囲において通知を行う事例】 事例1)不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するにあたり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること 事例2)漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること |
(※1)規則に定める事項については、本人への通知を補完するため、本人にとって参考となる事項をいい、例えば、本人が自らの権利利益を保護するために取り得る措置が考えられる。 |
3-5-4-4 通知の方法
「本人への通知」とは、本人に直接知らしめることをいい、事業の性質及び個人データの取扱い状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければならない(2-14本人に通知 参照)。また、漏えい等報告と異なり、本人への通知については、その様式が法令上定められていないが、本人にとって分かりやすい形で通知を行うことが望ましい。
【本人への通知の方法の事例】 事例1)文書を郵便等で送付することにより知らせること 事例2)電子メールを送信することにより知らせること |
3-5-4-5 通知の例外
本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められる。
(1)代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましい。
(2)公表すべき内容は、個別の事案ごとに判断されるが、本人へ通知すべき内容を基本とする。
【本人への通知が困難な場合に該当する事例】 事例1)保有する個人データの中に本人の連絡先が含まれていない場合 事例2) 連絡先が古いために通知を行う時点で本人へ連絡できない場合 |
【代替措置に該当する事例】 事例1)事案の公表 事例2) 問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること |
3-6 個人データの第三者への提供 (法第27条~第30条関係)
3-6-1 第三者提供の制限の原則 (法第27条第1項関係)
事業者は、個人データの第三者への提供にあたり、あらかじめ本人の同意を得ないで提供してはならない(※1)(※2)。
(1)同意の取得にあたっては、事業の規模及び性質、個人データの取扱い状況(取扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。
(2)あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない(3-1-1利用目的の特定 参照)。
(3)令和3年改正法の施行日前に、別表第二法人等に対して、本人から個人情報の取扱いに関する同意がある場合において、その同意が法第27条第1項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、令和3年改正法の施行日において同項の同意があったものとみなされる。
【第三者提供とされる事例】(ただし、法第27条第5項各号の場合を除く。) 事例1) 親子兄弟会社、グループ会社の間で個人データを交換する場合 事例2) フランチャイズ組織の本部と加盟店の間で個人データを交換する場合 事例3) 事業者間で、特定の個人データを交換する場合 |
【第三者提供とされない事例】(ただし、利用目的による制限がある。) 事例) 同一事業者内で他部門へ個人データを提供する場合 |
【具体的な事例】 事例1) 顔面の皮膚病に関する医学論文において、症例に言及する場合であって、写真全体にモザイク処理を施す等の対応をすることにより当該論文による研究成果の公表の目的が達せられなくなるとき 事例2) 実名で活動する特定の作家の作風を論ずる文学の講義において、当該作家の実名を含む出版履歴に言及する場合であって、作家の実名を伏せることにより当該講義による教授の目的が達せられなくなるとき |
(※1)ブログやその他のSNSに書き込まれた個人データを含む情報については、当該情報を書き込んだ者の明確な意思で不特定多数又は限定された対象に対して公開されている情報であり、その内容を誰が閲覧できるかについて当該情報を書き込んだ者が指定していることから、その公開範囲について、インターネット回線への接続サービスを提供するプロバイダやブログその他の SNS の運営事業者等に裁量の余地はないため、このような場合は、当該事業者が個人データを第三者に提供しているとは解されない。 (※2)事業者もしくはその従業者又はこれらであった者が、その業務に関して取扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得る。 |
3-6-2 オプトアウトによる第三者提供 (法第27条第2項~第4項関係)
3-6-2-1 オプトアウトに関する原則 (法第27条第2項関係)
事業者は、個人データの第三者への提供にあたり、次の1)から10)までに掲げる事項をあらかじめ(※1)本人に通知し、又は本人が容易に知り得る状態(※2)に置くとともに、個人情報保護委員会に届け出た場合には(※3)、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる(※4)(オプトアウトによる第三者提供)。
(1)個人データを第三者に提供しようとする別表第二法人等は、令和3年改正法の施行日前においても、法に定める事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。この場合において、当該通知及び届出は、令和3年改正法の施行日以後は、法の規定による通知及び届出とみなされる。
(2)事業者は、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らもインターネットの利用その他の適切な方法により公表(※5)することとする。
(3)要配慮個人情報をオプトアウトにより第三者に提供することや、オプトアウトにより提供を受けた個人データをオプトアウトにより再提供することはできない。
(4)第三者に提供するにあたっては、法第27条第1項各号又は同条第5項各号に該当する場合以外は、必ずあらかじめ本人の同意を得る必要があるので、注意を要する。
(5)不正取得された個人データについても、オプトアウトにより第三者に提供することはできない(※6)。
(※1)オプトアウトによる第三者提供を行う際は、次の1)から10)までに掲げる事項をあらかじめ、第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおかなければならない。 ① 本人に通知し、又は本人が容易に知り得る状態に置いた時点から、極めて短期間の後に、第三者提供を行ったような場合は、「本人が当該提供の停止を求めるのに必要な期間」をおいていないと判断され得る。 ② 具体的な期間については、業種、ビジネスの態様、通知又は容易に知り得る状態の態様、本人と事業者との近接性、本人から停止の求めを受け付ける体制、提供される個人データの性質等によっても異なり得るため、個別具体的に判断する必要がある。 ③ 「本人に通知し、又は本人が容易に知り得る状態に置く」時期と、「個人情報保護委員会に届け出る」時期は、必ずしも同時である必要はないが、本人に通知し、又は本人が容易に知り得る状態に置いた後、速やかに個人情報保護委員会に届け出ることが望ましい。 (※2)「本人が容易に知り得る状態」とは、事業所の窓口等への書面の掲示・備付けやホームページへの掲載その他の継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱い状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならない。「本人に通知」については、「2-14本人に通知」を参照。
(※3)届出の方法は、電子情報処理組織を使用する方法等によって行わなければならない。 ① 代理人によって届出を行う場合は、個人情報保護委員会が定める様式によるその権限を証する書面を提出しなければならない。 ② 事業者が外国にあり、当該事業者が届出を行う場合には、国内に住所を有する者に、当該届出に関する一切の行為につき当該事業者を代理する権限を有するものを定めなければならず、当該代理権を証する書面を個人情報保護委員会に提出しなければならない。 (※4)法第17条第1項の規定により特定された当初の利用目的に、個人情報の第三者提供に関する事項が含まれていない場合は、第三者提供を行うと目的外利用となるため、オプトアウトによる第三者提供を行うことはできない。 (※5)基本的には「インターネットの方法」による「公表」が望ましいが、事業者の特性、本人との近接性等により、当該方法以外の適切な方法による公表も可能である。「公表」については、「2-15公表」を参照。 (※6)オプトアウトにより提供を受けた個人データのオプトアウトによる再提供の禁止や、不正取得された個人データのオプトアウトによる提供の禁止については、当該個人データの全部又は一部を複製・加工したものについても適用があるため、注意を要する。 |
1) 事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
2) 第三者への提供を利用目的とすること
・ 利用目的が具体的に分かる内容とすること。「等」や「その他」等のあいまいな表現の記入は望ましくない。
【具体的な事例】 事例1)住宅地図帳、住宅地図データベース及び住宅地図関連商品(配信サービスを含む。)を制作し、販売することで、個人データを第三者に提供すること。 事例2)年齢別、資産家、健康食品購入者、同窓会、弁護士、不動産投資者及びマンションオーナーの名簿を制作し、販売することで、個人データを第三者に提供すること。 |
【具体的な事例】 事例1)氏名、住所、電話番号、年齢 事例2)氏名、商品購入履歴 |
【具体的な事例】 事例1) 新聞・雑誌・書籍・ウェブサイトの閲覧による取得 事例2) 官公庁による公開情報からの取得 |
【具体的な事例】 事例1) 書籍(電子書籍を含む。)として出版 事例2) インターネットに掲載 事例3) プリントアウトして交付 事例4) 各種通信手段による配信 事例5) その他外部記録媒体の形式での交付 |
7)本人の求めを受け付ける方法(※7)
【具体的な事例】 事例1)郵送 事例2)メール送信 事例3)ホームページ上の指定フォームへの入力 事例4)事業所の窓口での受付 事例5)電話 |
(※7) 「本人の求めを受け付ける方法」には、本人が求めを行う連絡先(事業者名、窓口名、郵送先住所又は送信先メールアドレス等。事業者が外国に本拠地を置く場合においては国内代理人の氏名、連絡先等。)が含まれる。 |
10)その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
【オプトアウトによる第三者提供の事例】 事例1) 住宅地図業者(表札や郵便受けを調べて住宅地図を作成・販売)やデータベース事業者(ダイレクトメール用の名簿等を作成・販売)が、あらかじめ上記1)から10)までに掲げる事項を自社のホームページに常時掲載し、本人からの停止の求めを受け付けられる状態にし、個人情報保護委員会に必要な届出を行った上で、販売等を行う場合 |
3-6-2-2 オプトアウトに関する事項の変更及び個人データの提供をやめた場合 (法第27条第3項関係)
事業者は、オプトアウトにより個人データの第三者提供を行っている場合であって、次の1)から3)までのいずれかに該当する場合は、その旨について、本人に通知(※1)し、又は本人が容易に知り得る状態(※2)に置くとともに、個人情報保護委員会に届け出なければならない(※3)。なお、事業者は、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らも公表(※4)することとする。
1)届出事項(第三者に提供される個人データの項目等)の変更があった場合
・ 第三者に提供される個人データの項目、第三者に提供される個人データの取得の方法、第三者への提供の方法、第三者への提供を停止すべきとの本人の求めを受け付ける方法、個人データの更新の方法又は第三者への提供を開始する予定日を変更する場合は、変更する内容について、あらかじめ(※5)、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
2)届出事項(氏名又は名称、住所、法人等の代表者の氏名)の変更があった場合
・ 第三者への提供を行う事業者の氏名又は名称、住所、法人等の代表者の氏名に変更があったときは、遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
3)個人データの提供をやめた場合
・ 個人データの第三者提供をやめたときは、遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
(※1)「本人に通知」については、「2-14本人に通知」を参照 (※2)「本人が容易に知り得る状態」については、「3-6-2-1オプトアウトに関する原則」を参照。なお、次のような方法であれば、適切かつ合理的な方法と解される。 ① 変更する内容を、例えば新旧対照表等により、分かりやすく明示した書面により本人に通知すること。 ② 本人が閲覧することが合理的に予測される事業者のホームページにおいて、本人が分かりやすい場所に変更する内容を、例えば新旧対照表等により、分かりやすく明示すること。 (※3)届出の方法等については、「3-6-2-1オプトアウトに関する原則」を参照。 (※4)「公表」については、「2-15公表」を参照。 (※5)「あらかじめ」の具体的な期間については「3-6-2-1オプトアウトに関する原則」を参照。 |
3-6-3 第三者に該当しない場合 (法第27条第5項・第6項関係)
次の1)委託、2)事業の承継、3)共同利用の場合については、第三者に該当しないものとする。
(1)提供元(A)が個人データを提供先(B)に提供する場合、提供元(A)と提供先(B)は別の主体となるため、提供先(B)は形式的には第三者に該当するものの、本人との関係において提供元(A)と提供先(B)は一体のものとして取扱うことに合理性があるため、第三者に該当しないものとする。
(2)このような要件を満たす場合には、あらかじめの本人の同意又は第三者提供におけるオプトアウトを行うことなく、個人データを提供することができる。
1)委託 (法第27条第5項第1号関係)
・ 利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先(B)は第三者に該当しない。
・ この場合、当該提供先(B)は、委託された業務の範囲内でのみ、本人との関係において提供元(A)と一体のものとして取扱われることに合理性があるため、委託された業務以外に当該個人データを取扱うことはできない。
・ なお、個人データを提供する提供元(A)は、提供先(B)(委託先)に対する監督責任が課される(3-4-4委託先の監督 参照)。
【委託に該当する事例】 事例1)データの打ち込み等、情報処理を委託するために個人データを提供する場合 事例2)事業者が注文を受けた商品の配送のために、取引業者に個人データを提供する場合 |
【事業の承継に該当する事例】 事例1)合併、分社化により、新会社に個人データを提供する場合 事例2)事業譲渡により、譲渡先企業に個人データを提供する場合 |
【具体的な事例】 事例1)氏名、住所、電話番号、年齢 事例2)氏名、商品購入履歴 |
【共同利用に該当する事例】 事例1)グループ企業で総合的な葬祭サービスを提供するために取得時の利用目的の範囲内で情報を共同利用する場合 事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合 事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合 | |
(※1) 共同利用の対象となる個人データの提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。 (※2) 事業者が共同利用を実施する場合には、共同利用者における責任等を明確にして円滑に実施する観点から、上記①から⑤までの情報のほか、例えば、次の(ア)から(カ)までの事項についても、あらかじめ取り決めておくことが望ましい。 (ア) 共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み) (イ) 各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先 (ウ) 共同利用する個人データの取扱いに関する事項 ・ 個人データの漏えい等防止に関する事項 ・ 目的外の加工、利用、複写、複製等の禁止 ・ 共同利用終了後のデータの返還、消去、廃棄に関する事項 (エ) 共同利用する個人データの取扱いに関する取り決めが遵守されなかった場合の措置 (オ) 共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項 (カ) 共同利用を終了する際の手続 (※3) 「本人に通知」については、「2-14本人に通知」を参照。 (※4) 「本人が容易に知り得る状態」については、「3-6-2オプトアウトによる第三者提供」を参照。 (※5) 共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先(B)との関係は、共同利用となるわけではなく、委託元(A)は委託先(B)の監督義務を免れるわけではない。 <共同利用に係る事項の変更 (法第27条第6項関係)> 事業者は、個人データを共同利用する場合において、「個人データの管理について責任を有する者の氏名、名称もしくは住所又は代表者の氏名」に変更があったときは、当該変更後の内容を遅滞なく、「共同利用する者の利用目的」又は「当該責任を有する者」を変更しようとするときは、当該変更しようとする内容をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 (1)「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができる。 (2)原則として、「共同して利用される個人データの項目」及び「共同して利用する者の範囲」について変更することは認められないが、例えば次のような場合は、引き続き共同利用を行うことができる。
|
3-6-4 外国にある第三者への提供の制限 (法第28条関係)
事業者は、外国(本邦の域外にある国又は地域)(個人の権利利益を保護する上で、我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。)にある第三者(個人データの取扱いについて規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(以下、「相当措置」という。)を継続的に講ずるために必要なものとして規則で定める基準に適合する体制を整備しているものを除く。)に個人データを提供する場合には、第27条第1項各号に掲げる場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。(詳細については、個人情報保護委員会「外国第三者提供ガイドライン」を参照。)
(1)事業者は、本人の同意を得ようとする場合には、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
1)情報の提供は、次に掲げる事項について行うものとし、情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
① 当該外国の名称
② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
③ 当該第三者が講ずる個人情報の保護のための措置に関する情報
2)本人の同意を得ようとする時点において、事項が特定できない場合には、次に掲げる事項について情報提供をしなければならない。なお、次に掲げる事項についても情報提供できない場合は、当該事項に代えて、その旨及びその理由について情報提供しなければならない。
① 事項が特定できない旨及びその理由
② 事項に代わる本人に参考となるべき情報がある場合には、当該情報
(2)事業者は、個人データを外国にある第三者(体制を整備しているものに限る。)に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
1)外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とし、情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
① 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
② 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること。
2)求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供をしなければならない。ただし、情報提供することにより当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
① 当該第三者による法第28条第1項に規定する体制の整備の方法
② 当該第三者が実施する相当措置の概要
③ 上記1)①の規定による確認の頻度及び方法
④ 当該外国の名称
⑤ 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
⑥ 当該第三者による相当措置の実施に関する支障の有無及びその概要
⑦ 上記⑥の支障に関して上記1)②の規定により当該事業者が講ずる措置の概要
3)求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、この場合には、本人に対し、その理由を説明するよう努めなければならない。
3-6-5 第三者提供に係る記録の作成等 (法第29条関係)
事業者は、個人データを第三者(法に定めた者を除く。)に提供したときは、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が法第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあたっては、第27条第1項各号のいずれか)に該当する場合は、不要である。(詳細については、個人情報保護委員会「確認・記録義務ガイドライン」を参照。)
① 記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
② 記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。
③ 当該第三者に対し個人データを継続的にもしくは反復して提供(法第27条第2項の規定による提供を除く。)したとき、又は当該第三者に対し個人データを継続的にもしくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
④ 本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に法に定める事項が記載されているときは、当該書面をもって当該事項に関する記録に代えることができる。
(1)事業者は、次に掲げる場合の区分に応じて、それぞれ個人情報保護委員会規則に定める事項を記録することとする。なお、次の事項のうち、既に法に規定する方法により作成した記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
1)事業者が法第27条第2項(3-6-2-1オプトアウトに関する原則 参照)の規定により個人データを第三者に提供した場合、次のイからニまでに掲げる事項
イ 当該個人データを提供した年月日
ロ 当該第三者の氏名又は名称及び住所並びに代表者の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
2)事業者が法第27条第1項(3-6-1第三者提供の制限の原則 参照)又は法第28条第1項(3-6-4外国にある第三者への提供の制限 参照)の規定により個人データを第三者に提供した場合、次のイ及びロに掲げる事項
イ 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
ロ 上記1)ロからニまでに掲げる事項
(2)事業者は、当該記録を個人情報保護委員会規則で定める期間保存しなければならない。期間は、次に掲げる場合の区分に応じて、それぞれ規則に定める期間とする。
1)規則第19条第3項に規定する方法により記録を作成した場合
・ 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
2)規則第19条第2項ただし書に規定する方法により記録を作成した場合
・ 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
3)上記1)、2)以外の場合
・ 3年
3-6-6 第三者提供を受ける際の確認等 (法第30条関係)
事業者は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が法第27条第1項各号又は第5項各号のいずれかに該当する場合は、不要である。なお、当該第三者となる者は、提供元の事業者が次に掲げる事項の確認を行う場合において、提供元の事業者に対して、当該確認に係る事項を偽ってはならない。(詳細については、個人情報保護委員会「確認・記録義務ガイドライン」を参照。)
1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2)当該第三者による当該個人データの取得の経緯
(1)当該事項の確認を行う方法は、次に掲げる方法とする。
① 上記1)の事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
② 上記2)の事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
③ 事業者は、第三者から他の個人データの提供を受けるに際して既に法に規定する方法による確認(当該確認について法に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第30条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
(2)事業者は、当該確認を行ったときは、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
① 記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
② 記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
③ 当該第三者から継続的にもしくは反復して個人データの提供(法第27条第2項の規定による提供を除く。)を受けたとき、又は当該第三者から継続的にもしくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
④ 本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に法に定める事項が記載されているときは、当該書面をもって当該事項に関する記録に代えることができる。
(3)事業者は、次に掲げる場合の区分に応じて、それぞれ個人情報保護委員会規則に定める事項を記録することとする。なお、次の事項のうち、既に法に規定する方法により作成した記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
1)事業者が個人情報取扱事業者から法第27条第2項(3-6-2-1オプトアウトに関する原則 参照)の規定による個人データの提供を受けた場合、次のイからホまでに掲げる事項
イ 当該個人データの提供を受けた年月日
ロ 法第30条第1項各号に掲げる事項
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
ホ 法第27条第4項の規定により公表されている旨
2)事業者が個人情報取扱事業者から法第27条第1項(3-6-1第三者提供の制限の原則 参照)又は法第28条第1項(3-6-4外国にある第三者への提供の制限 参照)の規定による個人データの提供を受けた場合、次のイ及びロに掲げる事項
イ 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
ロ 上記1)ロからニまでに掲げる事項
3)事業者が個人関連情報取扱事業者から法第31条第1項(3-7個人関連情報の第三者提供の制限等 参照)の規定による個人関連情報の提供を受けて個人データとして取得した場合、次のイからニまでに掲げる事項
イ 法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
ロ 法第30条第1項第1号に掲げる事項ハ 上記1)ハに掲げる事項
ニ 当該個人関連情報の項目
4)事業者が第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合、次のイに掲げる事項
イ 上記1)ロからニまでに掲げる事項
(4)事業者は、当該記録を個人情報保護委員会規則で定める期間保存しなければならない。期間は、次に掲げる場合の区分に応じて、それぞれ規則に定める期間とする。
1)規則第23条第3項に規定する方法により記録を作成した場合
・ 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
2)規則第23条第2項ただし書に規定する方法により記録を作成した場合
・ 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの
・ 3年
3-7 個人関連情報の第三者提供の制限等 (法第31条関係)
個人関連情報の定義については、「2-8個人関連情報」を参照。
個人関連情報取扱事業者の定義については、「2-9個人関連情報取扱事業者」を参照。
3-7-1 法第31条の適用の有無について
事業者は、第三者に個人関連情報の提供を行う場合において、提供先の第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。)を個人データとして取得することが想定されるときは、法に定める場合(3-6-1第三者提供の制限の原則 参照)を除き、あらかじめ当該個人関連情報に係る本人の同意が得られていること等を確認しないで、当該個人関連情報を提供してはならない。
(1)第三者に個人関連情報の提供を行う場合であっても、全てに適用されるものではなく、提供先の第三者が個人関連情報を「個人データとして取得することが想定されるとき」に適用されるものである。
(2)事業者は、第三者に個人関連情報の提供を行う場合にあたっては、提供先の第三者との間で、提供を行う個人関連情報の項目や、提供先の第三者における個人関連情報の取扱い等を踏まえた上で、それに基づいて法の適用の有無を判断する必要がある。
3-7-1-1 「個人データとして取得する」について
「個人データとして取得する」とは、提供先の第三者において、個人データに個人関連情報を付加する等、当該第三者が個人データとして利用しようとする場合をいう。
(1)提供先の第三者が、提供を受けた個人関連情報を、ID等を介して提供先が保有する他の個人データに付加する場合には、「個人データとして取得する」場合に該当する。
(2)提供先の第三者が、提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう「個人データとして取得する」場合に直ちには該当しない。
3-7-1-2 「想定される」について
「想定される」とは、提供元の事業者において、提供先の第三者が「個人データとして取得する」ことを現に想定している場合、又は一般人の認識(※1)を基準として「個人データとして取得する」ことを通常想定できる場合をいう。
(1)「個人データとして取得する」ことを現に想定している場合とは、提供元の事業者が、提供先の第三者において個人データとして取得することを現に認識している場合をいう。
【現に想定している場合に該当する例】 事例1)提供元の事業者が、顧客情報等の個人データを保有する提供先の第三者に対し、ID等を用いることで個人関連情報を個人データと紐付けて取得することが可能であることを説明している場合 事例2)提供元の事業者が、提供先の第三者から、個人関連情報を受領した後に個人データと紐付けて取得することを告げられている場合 |
【通常想定できる場合】 事例)個人関連情報を提供する際、提供先の第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いるID等も併せて提供する場合 |
(※1)「一般人の認識」とは、同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識をいう。 |
3-7-1-3 契約等による対応について
提供元の事業者において、「個人データとして取得する」ことを想定していない場合であっても、提供先の第三者が実際には個人関連情報を個人データとして利用することがうかがわれる場合には、契約等によって、提供先の第三者において、提供を受けた個人関連情報を個人データとして利用しない旨を定めることにより、通常、「個人テータとして取得する」ことが想定されず、法は適用されない。
(1)この場合、提供元の事業者は、提供先の第三者における個人関連情報の取扱いの確認まで行わなくとも、通常、「個人データとして取得する」ことが想定されない。
(2)提供元の事業者は、個人関連情報の提供を行う場合にあたって、提供先の第三者における個人関連情報の取扱いも確認した上で「個人データとして取得する」ことが想定されるかどうか判断する必要がある。
3-7-2 本人の同意の取得方法
3-7-2-1 本人の同意
「本人の同意」とは、事業者が第三者に個人関連情報を提供し、当該第三者が当該個人関連情報を個人データとして取得することを承諾する旨の当該本人の意思表示をいう。
(1)同意の取得にあたっては、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示した上で、本人の同意の意思が明確に確認できることが必要である。
(2)本人の同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において、包括的に同意を取得することも可能である。
(3)令和2年改正法の施行日前に、本人から個人関連情報の取扱いに関する同意がある場合において、その同意が法第31条第1項の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、同項第1号の同意があったものとみなされる。
(4)令和3年改正法の施行日前に、別表第二法人等に対して、本人から個人関連情報の取扱いに関する同意がある場合において、その同意が法第31条第1項第1号の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、令和3年改正法の施行日において同号の同意があったものとみなされる。
3-7-2-2 同意を取得する主体
「本人の同意」を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先の第三者であるが、同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元の事業者が代行することも認められる。ただし、提供先の第三者による同意取得の場合(※1)であっても、提供元の事業者による同意取得の代行の場合(※2)であっても、個人関連情報の提供を受けて個人データとして取得する主体、対象となる個人関連情報の項目、個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が認識できるようにする必要がある。
(※1) 提供先の第三者による同意取得の場合 ① 提供先の第三者が同意取得する場合、提供先の第三者は、個人関連情報の提供を受けて個人データとして取得する主体として、本人に対して、対象となる個人関連情報を特定できるように示した上で同意を取得しなければならない。 ② 個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において法第21条により通知又は公表を行う必要があるが、提供先において同意を取得する際には、同時に当該利用目的についても本人に示すことが望ましい。 (※2)提供元の事業者による同意取得の代行の場合 ① 提供元の事業者が同意取得を代行する場合、本人は利用の主体を認識できないことから、提供元の事業者において、個人関連情報の提供を受けて個人データとして取得する提供先の第三者を個別に明示し、また、対象となる個人関連情報を特定できるように示さなければならない。 ② 提供先の第三者が個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において法第21条により通知又は公表を行わなければならない。 ③ 提供元の事業者が同意取得を代行する場合であっても、提供先の第三者が同意取得の主体であることに変わりはないことから、提供先の第三者は提供元の事業者に適切に同意取得させなければならない。 |
3-7-2-3 同意取得の方法
同意取得の方法としては、様々な方法があるが、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法等がある。
(1)ウェブサイト上で同意を取得する場合は、ウェブサイト上に本人に示すべき事項を記載するとともに、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならない。
(2)同意取得に際しては、本人に必要な情報を分かりやすく示すことが重要であり、図を用いる等して工夫することが考えられる。
3-7-3 本人の同意等の確認の方法 (法第31条第1項関係)
3-7-3-1 個人データとして取得することを認める旨の本人の同意を得られていること (法第31条第1項第1号、規則第26条第1項関係)
事業者は、第三者に個人関連情報の提供を行う場合において、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、あらかじめ当該個人関連情報に係る本人の同意が得られていることを確認しないで当該個人関連情報を提供してはならない。
(1)本人から同意を得る主体は、原則として提供先の第三者となり、提供元の事業者は、当該第三者から申告を受ける方法その他の適切な方法によって本人同意が得られていることを確認することになる。提供先の第三者から申告を受ける場合、提供元の事業者は、その申告内容を一般的な注意力をもって確認すれば足りる。
(2)提供先の第三者において、複数の本人から同一の方式で同意を取得している場合、提供元の事業者は、それぞれの本人から同意が取得されていることを確認する必要があるが、同意取得の方法については、本人ごとに個別の申告を受ける必要はなく、複数の本人からどのように同意を取得したか申告を受け、それによって確認を行えば足りる。
(3)提供先の第三者から提供元の事業者に対する申告に際し、提供先の第三者が同意を取得済みのID等を提供する行為は、個人データの第三者提供に該当する場合があるが、確認行為において必要となる情報のみを提供する場合は、法令に基づく場合(法第27条第1項第1号)に該当する。
(4)提供元の事業者において、同意取得を代行する場合、当該同意を自ら確認する方法も「その他の適切な方法」による確認に該当する。
【第三者から申告を受ける方法に該当する事例】 事例1)提供先の第三者から口頭で申告を受ける方法 事例2)提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる方法 |
【その他の適切な方法に該当する事例】 事例1)提供先の第三者が取得した本人の同意を示す書面等を確認する方法 事例2)提供元の事業者において同意取得を代行して、当該同意を自ら確認する方法 |
3-7-3-2 外国にある第三者への提供にあっては、必要な情報が当該本人に提供されていること (法第31条第1項第2号、規則第26条第2項関係)
事業者は、第三者に個人関連情報の提供を行う場合において、個人関連情報の提供先が外国にある第三者である場合には、本人の同意が得られていることを確認するにあたって、当該同意が得られていることに加え、当該同意を得ようとする時点において次に掲げる1)から3)までの情報が当該本人に提供されていることを確認しなければならない。ただし、次の①又は②のいずれかに該当する場合には、本人同意の取得時に次の1)から3)までの情報が提供されていることを確認する必要はない。(詳細については、個人情報保護委員会「外国第三者提供ガイドライン」を参照。)
1)当該外国の名称(規則第17条第2項第1号関係)
2)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(規則第17条第2項第2号関係)
3)当該第三者が講ずる個人情報の保護のための措置に関する情報(規則第17条第2項第3号関係)
【次の①又は②のいずれかに該当する場合には、上記1)から3)までの情報が提供されていることを確認する必要はない】
① 当該第三者が個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している国にある場合
・ 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している外国として規則で定める国(※1)は、法に定める「外国」には該当しない。
・ そのため、個人関連情報の提供先が、当該国にある第三者である場合には、法は適用されない。
② 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している場合
・ 個人関連情報の提供先である外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合には、当該第三者は、法に定める「第三者」に該当しない。
・ そのため、当該体制を整備している外国にある第三者への個人関連情報の提供については、法は適用されない。
・ ただし、規則で定める基準に適合する体制を整備している外国にある第三者に個人関連情報の提供を行った場合には、個人関連情報取扱事業者は、法第31条第2項により読み替えて準用される法第28条第3項に基づき、次の(ア)及び(イ)の措置を講じなければならない。(※2)(※3)
(ア) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること(規則第18条第1項第1号関係)
(イ) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人関連情報の当該第三者への提供を停止すること(規則第18条第1項第2号)
(※1)規則で定める国とは、平成31年個人情報保護委員会告示第1号に定める国を指す。 (※2)法第26条の2第2項(現行法第31条第2項)において読み替えて準用される法第24条第3項(現行法第28条第3項)の規定は、個人関連情報取扱事業者が令和2年改正法の施行日以後に同項に規定する外国にある第三者に個人関連情報を提供した場合について適用される。 (※3) 法第31条第2項において読み替えて準用される法第28条第3項の規定は、別表第二法人等が令和3年改正法の施行日以後に同項に規定する外国にある第三者に個人関連情報を提供した場合について適用される。 |
<確認の方法 (規則第26条第2項関係)> 本人から同意を得る主体は、原則として提供先の第三者となり、個人関連情報取扱事業者は、書面の提示を受ける方法その他の適切な方法によって必要な情報の提供が行われていることを確認しなければならない。
|
3-7-3-3 既に確認を行った第三者に対する確認の方法 (規則第26条第3項)
複数回にわたって同一「本人」の個人関連情報を提供する場合において、同一の内容である事項を重複して確認する合理性はないため、「3-7-3-1個人データとして取得することを認める旨の本人の同意を得られていること」、「3-7-3-2外国にある第三者への提供にあっては、必要な情報が当該本人に提供されていること」の方法により確認を行い、「3-7-4提供元における記録義務」の方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、事項の確認を省略することができる。
(1)令和2年改正法の施行日の前に上記の方法に相当する方法で作成した記録についても同様とする。
(2)事業者が、同じ提供先に対して、既に確認・記録義務を履行した本人に係る個人関連情報であることを認識しながら、個人関連情報の提供を行う場合であれば、「同一であることの確認」が行われているものとなる。
3-7-4 提供元における記録義務 (法第31条第3項、第30条第3項関係)
事業者は、確認(3-7-3本人の同意等の確認の方法 参照)を行った場合は、その記録を作成しなければならない。
(1)「第三者」のうち、次の1)から4)までに掲げる者に個人関連情報の提供を行う場合は、記録義務は適用されない。
1)国の機関
2)地方公共団体
3)独立行政法人等(別表第二法人を除く。)
4)地方独立行政法人
3-7-4-2-2 一括して記録を作成する方法 (規則第27条第2項関係)
一定の期間内に特定の提供先に対して継続的にもしくは反復して個人関連情報を提供する場合、又は継続的にもしくは反復して提供することが確実であると見込まれるとき(※1)は、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができる(※2)。
【一括して記録を作成する方法に該当する事例】 事例1)最初の提供の際に一旦記録を作成した上で、継続的に又は反復して個人関連情報を提供する対象期間内に、随時、追加の記録事項を作成する方法 事例2)継続的に又は反復して個人関連情報を提供する対象期間内に、月ごとに記録を作成する方法 事例3)継続的に又は反復して個人関連情報を提供する対象期間の終了後、速やかに記録を作成する方法 |
(※1)「確実であると見込まれるとき」の例としては、継続的に又は反復して個人関連情報を提供することを内容とする基本契約を締結することで、以後、継続的に又は反復して個人関連情報を提供することが確実であると見込まれる場合等が該当する。この場合は、当該基本契約に係る契約書をもって記録とすることができる。 (※2)「一括して記録を作成することができる」は、例外としての記録作成方法であることに鑑みて、その対象期間、対象範囲等を明確にすることが望ましい。 |
3-7-4-2-3 契約書等の代替手段による方法 (規則第27条第3項関係)
事業者が、本人に対する物品又は役務の提供(※1)に係る契約を締結し、その契約の履行に伴って、当該本人に係る個人関連情報を第三者に提供する場合は、当該提供に関して作成された(※2)契約書その他の書面(※3)をもって記録とすることができる。(※4)
【契約書等の代替手段による方法の事例】 事例)提供元の事業者が提供先の第三者との間で、個人関連情報の提供に関して「契約書その他の書面」を交わしている場合であって、当該書面に規則第28条第1項各号(3-7-4-3-1提供元における記録事項 参照)に掲げる事項が記載されている場合 |
(※1)「本人に対する物品又は役務の提供」は、提供元の事業者もしくは提供先の第三者又はその双方が「本人に対する物品又は役務の提供」の主体となる場合も含む。 (※2)「当該提供に関して作成された(契約書その他の書面)」は、複数の書面を合わせて一つの記録とすることは妨げられない。 (※3)「契約書その他の書面」は、本人と提供元の事業者との間で作成した契約書のみならず、提供元の事業者と提供先の第三者との間で作成した契約書も、含まれる。 ① 「契約書」のほかにも、「その他の書面」には、提供元の事業者又は提供先の第三者の内部で作成された帳票、記録簿等も含まれる。 ② 「契約書その他の書面」は、電磁的記録を含むため、システム上の記録等も「契約書その他の書面」に該当する。 (※4)仮に、要件を満たさない書面であっても、記録事項が記載されていれば記録として認められるが、保存期間の違いに留意する必要がある(3-7-4-4保存期間 参照)。 |
3-7-4-3 提供元における記録事項 (規則第28条関係)
3-7-4-3-1 提供元における記録事項 (規則第28条第1項関係)
事業者は、確認(3-7-3本人の同意等の確認の方法 参照)を行ったときは、次に掲げる項目を記録しなければならない。
1)「法第31条第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることを確認した旨」
・ 確認した旨をその方法も含めて記載する。
・ 提供元の事業者が同意取得を代行している場合においては、それぞれの事項を提供元の事業者が自ら確認した旨も記載する。
2)「個人関連情報を提供した年月日」
・ 個人関連情報を継続的にもしくは反復して提供した場合又は提供することが確実であると見込まれる場合において、記録を一括して作成する場合は、個人関連情報の提供の初日と末日を記載する。
3)「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」
4)「当該個人関連情報の項目」
・ 当該記載から、どのような個人関連情報が提供されているか分かる程度に具体的な記載をする必要がある。
・ 「当社が有するいずれかの情報」等の記載では、「当該個人関連情報の項目」には該当しないものと解される。
・ 記録・保存が求められているのは「個人関連情報の項目」であって、個人関連情報そのものを保存する必要はない。
【当該個人関連情報の項目の事例】 事例1)ウェブサイトの閲覧履歴 事例2) 商品購入履歴 事例3) 年齢、性別 |
提供年月日 | 第三者の氏 名等 | 本人の氏名 等 | 個人データ (個人関連 情報)の項 目 | 本人の同意 等 (※1) | |
個人関連情報の 第三者提供 | 〇 | 〇 | 〇 | 〇 | |
本人の同意に よる第三者提供 | 〇 | 〇 | 〇 | 〇 | |
オプトアウトに よる第三者提供 | 〇 | 〇 | 〇 | 〇 |
(※1)個人関連情報の第三者提供について、外国にある第三者への提供にあっては、法第31条第1項第2号の規定による情報の提供についても記録する。 |
3-7-4-3-2 記録事項の省略 (規則第28条第2項関係)
複数回にわたって同一「本人」の個人関連情報の提供をする場合において、既に「3-7-4提供元における記録義務」の方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
(1)令和2年改正法の施行日の前に上記の方法に相当する方法で作成した記録についても同様とする。
(2)記録を省略することができる場合において、記録事項のうち、一部の事項の記録の作成を省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間(3-7-4-4保存期間 参照)の起算点は、残りの事項を作成した時点とする。
3-7-4-4 保存期間 (法第31条第3項、第30条第4項関係)
事業者は、作成した記録を個人情報保護委員会規則で定める期間保存しなければならない。期間は、次に掲げる場合の区分に応じて、それぞれ規則に定める期間とする。
1)「3-7-4-2-3契約書等の代替手段による方法」により記録を作成した場合
・ 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
2)「3-7-4-2-2一括して記録を作成する方法」により記録を作成した場合
・ 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
3)上記1)、2)以外の場合
・3年
3-7-5 提供先の第三者における確認義務 (法第30条第1項)
提供先の第三者となる個人情報取扱事業者は、個人関連情報の提供(法第27条第1項各号に掲げる場合を除く。)を受けて個人データとして取得する場合は、法第30条第1項の確認義務の適用を受ける。
3-7-5-1 確認方法 (法第30条第1項、規則第22条関係)
提供先の第三者となる個人情報取扱事業者(提供先A)は、提供元の第三者となる個人関連情報取扱事業者(提供元B)から個人関連情報の提供を受けて個人データとして取得する際は、当該第三者(提供元B)について、次に掲げる事項の確認を行わなければならない(3-6-6第三者提供を受ける際の確認等 参照)。(詳細については、個人情報保護委員会「確認・記録義務ガイドライン」を参照。)
1)当該第三者(提供元B)の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2)当該第三者(提供元B)による当該個人データの取得の経緯(※1)
(1)当該事項の確認を行う方法は、次に掲げる方法とする。
① 上記1)の事項の確認を行う方法は、当該第三者(提供元B)から申告を受ける方法その他の適切な方法とする。
② 上記2)の事項の確認を行う方法は、当該第三者(提供元B)から当該第三者(提供元B)による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
③ 提供先の第三者(提供先A)は、当該第三者(提供元B)から他の個人データの提供を受けるに際して既に法に規定する方法による確認(当該確認について法に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第30条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
(※1)「当該第三者による当該個人データの取得の経緯」については、提供元の事業者(提供元B)の場合において、提供する個人関連情報を個人データとして取得していないことから、提供先の事業者(提供先A)における確認の対象とならない。 |
3-7-5-2 既に確認を行った第三者に対する確認方法 (規則第22条関係)
複数回にわたって同一「本人」の個人関連情報の提供を受けて個人データとして取得する場合において、同一の内容である事項を重複して確認する合理性はないため、既に「3-7-5-1確認方法」の方法により確認を行い、「3-7-4提供元における記録義務」の方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。
【同一であることの確認が行われている事例】 事例)事業者が、同じ提供元から、既に確認・記録義務を履行した本人に係る個人関連情報であることを認識しながら、個人関連情報の提供を受けて個人データとして取得する場合 |
3-7-5-3 提供先の第三者による適正取得
提供先の第三者となる個人情報取扱事業者は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない。
【提供先の事業者が偽りその他不正の手段により個人関連情報を個人データとして取得している事例】 事例1)提供先の事業者が、提供元の事業者に個人データとして利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合 事例2)提供先の事業者が、本人同意を取得していないにもかかわらず、同意取得していると提供元の事業者に虚偽の申告をして、個人関連情報を個人データとして取得した場合 事例3)提供元の事業者が同意取得を代行することを念頭に、実際には提供元の事業者が適切に同意取得していない場合において、提供先の事業者がこれを知り、又は容易に知ることができるにもかかわらず、当該個人関連情報を個人データとして取得した場合 |
3-7-6 提供先の第三者における記録義務 (法第30条第3項関係)
提供先の第三者となる個人情報取扱事業者は、個人関連情報の提供(法第27条第1項各号に掲げる場合を除く。)を受けて個人データとして取得する場合は、法第30条第3項の記録義務の適用を受ける。
3-7-6-1 記録を作成する媒体 (規則第23条第1項関係)
提供先の第三者となる個人情報取扱事業者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。
3-7-6-2 記録を作成する方法
3-7-6-2-1 原則 (規則第23条第2項関係)
提供先の第三者となる個人情報取扱事業者は、記録を作成する場合、原則として、個人関連情報の提供を受けて個人データとして取得する都度、速やかに、記録を作成しなければならない。なお、個人関連情報の提供を受けて個人データとして取得する前に記録を作成することもできる。
3-7-6-2-2 一括して記録を作成する方法 (規則第23条第2項関係)
提供先の第三者となる個人情報取扱事業者は、一定の期間内に特定の提供元から継続的に又は反復して個人関連情報の提供を受けて個人データとして取得する場合は、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができる。「3-7-4-2-2一括して記録を作成する方法」も参照。
3-7-6-2-3 契約書等の代替手段による方法 (規則第23条第3項関係)
提供先の第三者となる個人情報取扱事業者が、本人に対する物品又は役務の提供に係る契約を締結し、その契約の履行に伴って、当該本人に係る個人関連情報の提供を受けて個人データとして取得する場合は、当該契約書その他の書面をもって記録とすることができる。仮に、要件を満たさない書面であっても、記録事項が記載されていれば記録として認められるが、保存期間の違いに留意する必要がある(3-7-6-4保存期間 参照)。「3-7-4-2-3契約書等の代替手段による方法」も参照。
3-7-6-3 提供先の第三者における記録事項 (規則第24条関係)
3-7-6-3-1 提供先の第三者における記録事項 (規則第24条第1項関係)
提供先の第三者となる個人情報取扱事業者は、個人関連情報の提供を受けて個人データとして取得した場合は、次に掲げる項目を記録しなければならない。
1)「法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨」
・ 同意の取得や情報提供について、これを行ったことを示す証跡等がある場合には、当該証跡等をもって記録とすることもできる。
2)「法第30条第1項第1号に掲げる事項」
・ 提供元の個人関連情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を記録しなければならない。
3)「第1号ハに掲げる事項」
・ 「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」を記録しなければならない。
・ 「当社が有する全ての個人情報に係る本人」等の記載では、「当該本人を特定するに足りる」ものではないと解される。
【その他の当該本人を特定するに足りる事項に該当する事例】 事例) こころの会会員ごとに番号・ID等を付して個人データの管理をしている場合において、当該番号・ID等により本人を特定できるときの当該番号・ID |
4)「当該個人関連情報の項目」
・ 「3-7-4-3-1提供元における記録事項」を参照。
<提供先の記録事項>
提供を 受けた 年月日 | 第三者の 氏名等 | 取得の 経緯 | 本人の 氏名等 | 個人デー タ(個人 関連情 報) の項目 | 個人情 報保護 委員会 による 公表 | 本人の 同意等 (※1) | |
個人関連情報の提供 を受けて 個人データとして取得 した場合 | 〇 | 〇 | 〇 | 〇 | |||
本人の同意 による 第三者提供 | 〇 | 〇 | 〇 | 〇 | 〇 | ||
オプトアウト による 第三者提供 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | |
私人等 からの 第三者提供 | 〇 | 〇 | 〇 | 〇 |
(※1)個人関連情報の第三者提供について、外国にある第三者への提供にあっては、法第31条第1項第2号の規定による情報の提供についても記録する.。 |
3-7-6-3-2 記録事項の省略 (規則第24条第2項関係)
複数回にわたって同一「本人」の個人関連情報の提供を受けて個人データとして取得する場合において、既に「3-7-6提供先の第三者における記録義務」の方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
(1)令和2年改正法の施行日の前に上記の方法に相当する方法で作成した記録についても同様とする。
(2)記録を省略することができる場合において、記録事項のうち、一部の事項の記録の作成を省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間(3-7-6-4保存期間 参照)の起算点は、残りの事項を作成した時点とする。
3-7-6-4 保存期間 (法第30条第4項、規則第25条関係)
提供先の第三者となる個人情報取扱事業者は、作成した記録を個人情報保護委員会規則で定める期間保存しなければならない。期間は、次に掲げる場合の区分に応じて、それぞれ規則に定める期間とする。
1)「3-7-6-2-3契約書等の代替手段による方法」により記録を作成した場合
・ 最後に当該記録に係る提供を受けて個人データとして取得した日から起算して1年を経過する日までの間
2) 「3-7-6-2-2一括して記録を作成する方法」により記録を作成した場合
・ 最後に当該記録に係る提供を受けて個人データとして取得した日から起算して3年を経過する日までの間
3) 上記1)、2)以外の場合
・ 3年
3-8 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等 (法第32条~第39条関係)
3-8-1 保有個人データに関する事項の公表等 (法第32条関係)
3-8-1-1 保有個人データに関する事項の本人への周知 (法第32条第1項関係)
事業者は、保有個人データについて、次の1)から6)までに掲げる情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)(※1)に置かなければならない。
1)事業者の氏名又は名称及び住所(※2)並びに代表者の氏名
2)全ての保有個人データの利用目的(※3)(ただし、一定の場合(※4)を除く。)
3)保有個人データの利用目的の通知の求め又は開示等の請求(※5)に応じる手続及び保有個人データの利用目的の通知の求め又は開示の請求に係る手数料の額(定めた場合に限る。)(※6)
4)保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
・ 事業者は、保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならない。(ただし、当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
・ 当該安全管理のために講じた措置は、事業の規模及び性質、保有個人データの取扱い状況(取扱う保有個人データの性質及び量を含む。)、保有個人データを記録した媒体等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
・ 本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能である。
・ ただし、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは、適切ではない。
5)保有個人データの取扱いに関する苦情の申出先
6)認定個人情報保護団体の名称及び苦情の解決の申出
(※1) 「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。
① 必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱い状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。 ② 普段から問合せ対応が多い事業者等において、ホームページへ継続的に掲載する方法は、「本人が容易に知り得る状態」(3-6-2オプトアウトによる第三者提供 参照)及び「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」の両者の趣旨に合致する方法とする。 (※2)事業者が外国に所在する場合は、当該外国(本邦の域外にある国又は地域)の名称を含む。 (※3)利用目的に第三者提供が含まれる場合は、その旨も明らかにしなければならない。 (※4) 一定の場合」とは、次の掲げる場合をいう(3-3-5利用目的の通知等をしなくてよい場合 参照)。 ア) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 イ) 利用目的を本人に通知し、又は公表することにより事業者の権利又は利益が侵害されるおそれがある場合 ウ) 国の機関等が法令の定める事務を実施する上で、事業者の協力を得る必要がある場合であり、協力する事業者が国の機関等から受け取った個人情報の利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合 (※5) 「開示等の請求」とは、保有個人データの開示、保有個人データの内容の訂正、追加もしくは削除、保有個人データの利用の停止もしくは消去、又は保有個人データの第三者への提供の停止、第三者提供記録の開示の請求をいう(3-8-2保有個人データの開示、3-8-4保有個人データの訂正等、3-8-5保有個人データの利用停止等、3-8-3第三者提供記録の開示 参照)。 (※6) 手数料の額を定める場合は、実費を勘案して合理的であると認められる範囲内において、定めなければならない(3-8-8手数料 参照)。 |
【中小規模事業者(※7)における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(※8) <基本方針の策定> 事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン・指針等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定 <個人データの取扱いに係る規律の整備> 事例)個人データの取得、利用、保存等を行う場合の基本的な取扱い方法を整備 <組織的安全管理措置> 事例1)整備した取扱い方法に従って個人データが取扱われていることを責任者が確認 事例2)従業者から責任者に対する報告連絡体制を整備 <人的安全管理措置> 事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施 事例2)個人データについての秘密保持に関する事項を就業規則に記載 <物理的安全管理措置> 事例1)個人データを取扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施 事例2)個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施 <技術的安全管理措置> 事例1)個人データを取扱うことのできる機器及び当該機器を取扱う従業者を明確化し、個人データへの不要なアクセスを防止 事例2)個人データを取扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入 <外的環境の把握> 事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※9) |
【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例】(※10) 事例1)個人データが記録された機器等の具体的な廃棄方法、盗難防止のための具体的な管理方法 事例2)アクセス者の具体的な認証手法等 事例3)不正アクセス防止措置の具体的な内容等 |
(※7)「中小規模事業者」については、「5.講ずべき安全管理措置の内容」を参照。 (※8)安全管理措置の事例については、「5.講ずべき安全管理措置の内容」も参照。 ① 上記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られない。 ② 中小規模事業者が、その他の個人情報取扱事業者と同様に委員会ガイドラインに記述してある手法を採用し、当該手法の内容を本人の知り得る状態に置くことは、より望ましい対応である。 (※9)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称である必要はないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。 (※10)「本人に知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例」等は、その具体的な方法や内容を本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられる。そのため、何をもって安全管理に支障を及ぼすおそれがあるかについては、取扱われる個人情報の内容、個人情報の取扱いの態様等によって様々であり、事業の規模及び性質、保有個人データの取扱い状況等に応じて判断される。 |
3-8-1-2 保有個人データの利用目的の通知 (法第32条第2項・第3項関係)
事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知(2-14本人に通知 参照)しなければならない。
(1)次の1)から4)までに掲げる場合については、当該利用目的の本人への通知は不要である。
(2)通知しない旨を決定したときは、遅滞なく、その旨を本人に通知しなければならない。
1)上記「3-8-1-1保有個人データに関する事項の本人への周知」の措置により、本人が識別される保有個人データの利用目的が明らかである場合
2)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(3-3-5利用目的の通知等をしなくてよい場合 参照)
3)利用目的を本人に通知し、又は公表することにより事業者の権利又は利益が侵害されるおそれがある場合(3-3-5利用目的の通知等をしなくてよい場合 参照)
4)国の機関等が法令の定める事務を実施する上で、事業者の協力を得る必要がある場合であり、協力する事業者が国の機関等から受け取った保有個人データの利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合(3-3-5利用目的の通知等をしなくてよい場合 参照)
3-8-2 保有個人データの開示 (法第33条第1項~第4項関係)
事業者は、本人から、当該本人が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法その他当該事業者の定める方法のうち本人が請求した方法(※1)(当該方法による開示に多額の費用を要する場合、その他の当該方法による開示が困難である場合にあっては、書面の交付による方法(※2))により、遅滞なく、当該保有個人データを開示しなければならない(※3)。
(※1)開示の請求を行った者から開示の方法について特に指定がなく、事業者が提示した方法に対して異議を述べなかった場合は、当該事業者が提示した方法で開示することができる。 (※2)事業者は、本人が請求する方法による開示が困難な場合に、直ちに書面の交付による開示を行うのではなく、対応できる方法への変更を求めることが望ましい。また、開示の請求に際して提出すべき書面の様式において、対応できる方法や媒体等をあらかじめ示しておくといった対応も考えられる。 (※3)会員等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、個人情報の取得方法(取得源の種類等)を、可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ましい。 |
(1)電磁的記録の提供による方法については、事業者がファイル形式や記録媒体等の具体的な方法を定めることができるが、開示請求等で得た保有個人データの利用等における本人の利便性向上の観点から、可読性・検索性のある形式による提供や、技術的に可能な場合には、他の事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましい。
【電磁的記録の提供による方法の事例】 事例1)電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法 事例2)電磁的記録を電子メールに添付して送信する方法 事例3)会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法 |
【その他当該事業者の定める方法の事例】 事例1)事業者が指定した場所における音声データの視聴 事例2)事業者が指定した場所における文書の閲覧 |
【当該方法による開示が困難である場合の事例】 事例1)本人から電磁的記録の提供による開示を請求された場合であって、事業者が当該開示請求に応じるために、大規模なシステム改修を行わなければならないような場合 事例2)本人から電磁的記録の提供による開示を請求された場合であって、書面で個人情報や帳簿等の管理を行っている事業者が、電磁的記録の提供に対応することが困難な場合 |
【具体的な事例】 事例)医療機関等において、病名等を患者に開示することにより、患者本人の心身状況を悪化させるおそれがある場合 |
2)事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
・ 保有個人データを本人に開示することにより、事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、当該保有個人データの全部又は一部を開示しないことができる。
・ なお、「著しい支障を及ぼすおそれ」に該当する場合とは、事業者の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定され、単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しない。
【具体的な事例】 事例1)検定事業において、採点情報の全てを開示することにより、検定制度の維持に著しい支障を及ぼすおそれがある場合 事例2)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合 事例3)電磁的記録の提供にふさわしい音声・動画ファイル等のデータを、あえて書面で請求することにより、業務上著しい支障を及ぼすおそれがある場合 |
3)他の法令に違反することとなる場合
・ 保有個人データを本人に開示することにより、他の法令に違反することとなる場合は、当該保有個人データの全部又は一部を開示しないことができる。
【具体的な事例】 事例)刑法(秘密漏示罪)や電気通信事業法(通信の秘密の保護)に違反することとなる場合 |
・ また、他の法令の規定により、法に相当する方法により当該本人が識別される保有個人データを開示することとされている場合には、当該他の法令の規定が適用されることとなる。
・ なお、本人が、裁判上の訴えにより、当該本人が識別される保有個人データの開示を請求する場合については、「3-8-9裁判上の訴えの事前請求」を参照。
3-8-3 第三者提供記録の開示 (法第33条第5項、第1項~第3項関係)
3-8-3-1 第三者提供記録の定義
第三者提供記録とは、法第29条第1項及び第30条第3項の記録のうち、次の1)から4)までに掲げるものを除いたものをいう。明文又は解釈により法第29条第1項又は第30条第3項の規定が適用されない場合において、これらの規定に基づくことなく作成された記録は第三者提供記録に含まれない(3-6-5第三者提供に係る記録の作成等、3-7-6提供先の第三者における記録義務 参照)。
1)当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
【具体的な事例】 事例)犯罪被害者支援や児童虐待防止を目的とする団体が、加害者を本人とする個人データの提供を受けた場合に作成された記録 |
2)当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
【具体的な事例】 事例)暴力団等の反社会的勢力による不当要求の被害等を防止するために、暴力団等の反社会的勢力に該当する人物を本人とする個人データの提供を受けた場合に作成された記録 |
3)当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
【具体的な事例】 事例)要人の警備のために、要人を本人とする行動記録等に関する個人データの提供を受けた場合に作成された記録 |
4)当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
【具体的な事例】 事例)警察の犯罪捜査の協力のために、事前に取得していた同意に基づき、犯罪者を本人とする個人データの提供を行った場合に作成された記録 |
3-8-3-2 第三者提供記録の開示の方法
事業者は、本人から、当該本人が識別される個人データに係る第三者提供記録の開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法、その他当該事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合、その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該第三者提供記録を開示しなければならない(3-8-2保有個人データの開示 参照)。
(1)事業者が第三者提供記録を本人に開示するにあたっては、法において記録事項とされている事項を本人が求める方法により開示すれば足り、それ以外の事項を開示する必要はない。
(2)第三者提供記録を作成した場合、それが契約書の代替手段による方法で作成した場合であれば、当該契約書中、記録事項となっている事項を抽出した上で、本人が求める方法により開示すれば足り、契約書そのものを開示する必要はない。
3-8-3-3 第三者提供記録の不開示事由等
第三者提供記録を開示することにより次の1)から3)までのいずれかに該当する場合は、その全部又は一部を開示しないことができるが、これにより開示しない旨の決定をしたとき又は請求に係る第三者提供記録が存在しないときは、遅滞なく、その旨を本人に通知(2-14本人に通知 参照)しなければならない。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。
1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
・ 第三者提供記録を本人に開示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合は、当該第三者提供記録の全部又は一部を開示しないことができる。
【具体的な事例】 事例1)第三者提供記録に個人データの項目として本人が難病であることを示す内容が記載されている場合において、当該第三者提供記録を開示することにより、患者本人の心身状況を悪化させるおそれがある場合 事例2)企業の与信判断等に用いられる企業情報の一部として代表者の氏名等が提供され、第三者提供記録が作成された場合において、当該第三者提供記録を開示することにより、提供を受けた第三者の秘密情報が漏えいするおそれがある場合 |
2)事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
・ 第三者提供記録を本人に開示することにより、事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、当該第三者提供記録の全部又は一部を開示しないことができる。
・ 他の事業者と取引関係にあることが契約上秘密情報とされている場合であっても、記録事項そのものを開示することについては、直ちにこれに該当するものではなく、個別具体的に判断する必要がある。
【具体的な事例】 事例)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合 |
3)他の法令に違反することとなる場合
・ 第三者提供記録を本人に開示することにより、他の法令に違反することとなる場合は、当該第三者提供記録の全部又は一部を開示しないことができる。
【具体的な事例】 事例)刑法(秘密漏示罪)に違反することとなる場合 |
3-8-4 保有個人データの訂正等 (法第34条関係)
事業者は、本人から、当該本人が識別される保有個人データに誤りがあり、事実でないという理由によって、内容の訂正、追加又は削除(※1)(以下、「訂正等」という。)の請求を受けた場合は、利用目的の達成に必要な範囲で遅滞なく必要な調査を行い、その結果に基づき、原則として(※2)、訂正等を行わなければならない。
(1)事業者は、請求に係る保有個人データの内容の全部もしくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を本人に通知(2-14本人に通知 参照)しなければならない。
(2)保有個人データの内容の訂正等に関して他の法令の規定により特別の手続が定められている場合には、当該他の法令の規定が適用されることとなる。
(3)本人が、裁判上の訴えにより、当該本人が識別される保有個人データの訂正等を請求する場合については、「3-8-9裁判上の訴えの事前請求」を参照。
(※1)「削除」とは、不要な情報を除くことをいう。 (※2)利用目的からみて訂正等が必要ではない場合、保有個人データが誤りである旨の指摘が正しくない場合には、訂正等を行う必要はない。ただし、その場合には、遅滞なく、訂正等を行わない旨を本人に通知しなければならない。 |
3-8-5 保有個人データの利用停止等 (法第35条関係)
3-8-5-1 利用停止等の要件
事業者は、次の1)から3)までのいずれかに該当する場合については、保有個人データの利用の停止もしくは消去(※1)(以下、「利用停止等」という。)又は第三者提供の停止を行わなければならない。
1)法違反の場合の利用停止等
・ 事業者は、本人から、当該本人が識別される保有個人データについて、次の①から③までのいずれかのときを理由に、当該保有個人データの利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければならない。
・ 法違反である旨の指摘が正しくない場合は、利用停止等を行う必要はない。
① 法第18条の規定に違反して、本人の同意なく目的外利用がされているとき
② 法第19条の規定に違反して、不適正な利用が行われているとき
③ 法第20条の規定に違反して、偽りその他不正の手段により個人情報が取得されもしくは本人の同意なく要配慮個人情報が取得されたとき
2)法違反の場合の第三者提供の停止
・ 事業者は、本人から、当該本人が識別される保有個人データについて、次の①のときを理由に、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければならない。
・ 法違反である旨の指摘が正しくない場合は、第三者提供を停止する必要はない。
① 法第27条第1項又は第28条の規定に違反して、本人の同意なく第三者に提供されているとき
3)法第35条第5項の要件を満たす場合の利用停止等又は第三者提供の停止
・ 事業者は、本人から、当該本人が識別される保有個人データについて、次の①から③までのいずれかの場合を理由に、当該保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等又は第三者提供の停止を行わなければならない。
① 当該事業者が利用する必要がなくなった場合(※2)
【利用する必要がなくなったとして利用停止等又は第三者提供の停止が認められる事例】 事例1)ダイレクトメールを送付するために事業者が保有していた情報について、当該事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合 事例2)電話勧誘のために事業者が保有していた情報について、当該事業者が電話勧誘を停止した後、本人が消去を請求した場合 事例3)会報誌、小冊子等の懸賞品送付のために事業者が保有していた応募者の情報について、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合 事例4)採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合 |
② 当該本人が識別される保有個人データに係る法第26条第1項に規定する事態(漏えい等事案)が生じた場合(※3)
③ 当該本人の権利又は正当な利益が害されるおそれがある場合(※4)
【本人の権利又は正当な利益が害されるおそれがあるとして利用停止等又は第三者提供の停止が認められると考えられる事例】 事例1)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合 事例2)電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合 事例3)事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合 事例4)事業者が、法に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合 事例5)事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じるおそれがあることから、本人が利用停止等を請求する場合 |
【本人の権利又は正当な利益が害されるおそれがないとして利用停止等又は第三者提供の停止が認められないと考えられる事例】 事例1)会員等が、葬祭サービスの料金の支払いを免れるため、事業者に対して課金に必要な情報の利用停止等を請求する場合 事例2)インターネット上で匿名の投稿を行った者が、発信者情報開示請求による発信者の特定やその後の損害賠償請求を免れるため、プロバイダに対してその保有する接続認証ログ等の利用停止等を請求する場合 事例3)過去に利用規約に違反したことを理由としてこころの会入会拒否の処分を受けた者が、再度葬祭サービスを利用するため、当該サービスを提供する事業者に対して入会拒否の処分を受けたことを含むユーザー情報の利用停止等を請求する場合 事例4)過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合 |
(※1)「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む(3-4-1データ内容の正確性の確保等 参照)。 (※2)「当該事業者が利用する必要がなくなった」とは、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等、当該保有個人データについて利用する必要がなくなったときをいう(3-4-1データ内容の正確性の確保等 参照)。請求の対象となっている保有個人データにつき、複数の利用目的がある場合、全ての利用目的との関係で「利用する必要がなくなった」かどうかを判断する必要がある。 (※3)「当該本人が識別される保有個人データに係る法第26条第1項に規定する事態が生じた」とは、法第26条第1項に定める漏えい等事案が生じたことをいう(3-5-3-1報告対象となる事態 参照)。 (※4)「本人の権利又は正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益(※5)が存在し、それが侵害されるおそれ(※6)がある場合をいう。 (※5)「正当」かどうかは、相手方である事業者との関係で決まるものであり、事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、事業者は請求に応じる必要がある。本人の権利利益の保護の必要性を上回る特別な事情があるかどうかを判断するにあたっては、例えば、次の(ア)から(オ)のような事情を考慮することになる。 (ア)本人又は第三者の生命、身体、財産その他の権利利益を保護するために当該保有個人データを取扱う事情 (イ)法令を遵守するために当該保有個人データを取扱う事情 (ウ)契約に係る義務を履行するために当該保有個人データを取扱う事情 (エ)違法又は不当な行為を防止するために当該保有個人データを取扱う事情 (オ)法的主張、権利行使又は防御のために当該保有個人データを取扱う事情 (※6)「おそれ」は、一般人の認識を基準として、客観的に判断する。 |
3-8-5-2 本人の権利利益の侵害を防止するために必要な限度
「3-8-5-1利用停止等の要件」の3)に該当する場合、事業者は、本人の権利利益の侵害を防止するために必要な限度で、利用停止等又は第三者提供の停止を行わなければならない。
【本人からの請求に対し、本人の権利利益の侵害を防止するために必要な限度での対応として考えられる事例】 事例1)本人から保有個人データの全てについて、利用停止等が請求された場合に、一部の保有個人データの利用停止等によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、一部の保有個人データに限定して対応を行う場合 事例2)法に違反して第三者提供が行われているとして保有個人データの消去を請求された場合に、利用停止又は第三者提供の停止による対応によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、利用停止又は第三者提供の停止による対応を行う場合 |
3-8-5-3 本人の権利利益を保護するため必要なこれに代わるべき措置
「3-8-5-1利用停止等の要件」の1)から3)までのいずれかに該当する場合であっても、利用停止等又は第三者提供の停止を行うことが困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められる。
(1)「困難な場合」については、利用停止等又は第三者提供の停止に多額の費用を要する場合のほか、事業者が正当な事業活動において保有個人データを必要とする場合についても該当し得る。
(2)「代替措置」については、事案に応じて様々であるが、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要がある。
【本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例】 事例1)既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合 事例2)個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合 事例3)他の法令の規定により保存が義務付けられている保有個人データを遅滞なく消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合 |
(3)事業者は、上記により、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、又は、第三者提供の停止を行ったときもしくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知(2-14本人に通知 参照)しなければならない。
(4)本人が、裁判上の訴えにより、当該本人が識別される保有個人データの利用停止等又は第三者提供の停止を請求する場合については、「3-8-9裁判上の訴えの事前請求」を参照。
(5)会員等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等又は第三者提供の停止に応じる等、本人からの求めにより一層対応していくことが望ましい。
3-8-6 理由の説明 (法第36条関係)
事業者は、保有個人データの利用目的の通知の求め、保有個人データの開示、訂正等、利用停止等もしくは第三者提供の停止に関する請求、又は第三者提供記録の開示に関する請求(以下、「開示等の請求等」という。)に係る措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知(2-14本人に通知 参照)する場合は、併せて、本人に対して、その理由を説明するように努めなければならない。
3-8-7 開示等の請求等に応じる手続 (法第37条関係)
事業者は、開示等の請求等(※1)において、これを受け付ける方法として次の1)から4)までに掲げる事項を定めることができる。
1)開示等の請求等の申出先
【具体的な事例】 事例)担当窓口名・係名、郵送先住所、受付電話番号、受付FAX番号、メールアドレス等 |
【具体的な事例】 事例)郵送、FAX、電子メールやウェブサイト等のオンラインで受け付ける等 |
3)開示等の請求等をする者が本人又はその代理人(①未成年者又は成年被後見人の法定代理人、②開示等の請求等をすることにつき本人が委任した代理人)であることの確認の方法(※2)
4)保有個人データの利用目的の通知又は保有個人データの開示をする際に徴収する手数料の徴収方法
(1)開示等の請求等を受け付ける方法を定めるにあたっては、当該手続が、事業の性質、保有個人データの取扱い状況、開示等の請求等の受付方法等に応じて適切なものになるよう配慮するとともに、必要以上に煩雑な書類を書かせたり、請求等を受け付ける窓口を他の業務を行う拠点とは別にいたずらに不便な場所に限定したりする等、本人に過重な負担を課するものとならないよう配慮しなければならない。
(2)開示等の請求等を受け付ける方法を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない(3-8-1保有個人データに関する事項の公表等 参照)。
①「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、本人が知ろうとすれば、知ることができる状態に置くことをいい、事業の性質及び個人情報の取扱い状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならないが、開示等の請求等を行おうとする本人がその手続きを把握できるようにしておくことが重要である。
②「本人の求めに応じて遅滞なく回答する」ことによって対応する場合には、その前提として、少なくとも本人が簡単な操作によって求めを行うことができるようにすることが望ましい。
【具体的な事例】 事例)ホームページへの掲載による場合、本人が簡単な操作によって当該箇所へ到達でき、円滑に請求等を行えるようにしておく |
(3)事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときは、本人は、当該方法に従って開示等の請求等を行わなければならず、当該方法に従わなかった場合は、事業者は、当該開示等の請求等を拒否することができる(※3)。
(4)事業者は、円滑に開示等の手続が行えるよう、本人に対し、開示等の請求等の対象となる当該本人が識別される保有個人データ又は第三者提供記録の特定に必要な事項(住所、ID、パスワード、会員番号等)の提示を求めることができる。なお、その際には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は第三者提供記録の特定に資する情報を提供する等、本人の利便性を考慮しなければならない。
(※1)「開示等の請求等」とは、保有個人データの利用目的の通知の求め、保有個人データの開示、訂正等、利用停止等もしくは第三者提供の停止の請求、又は第三者提供記録の開示に関する請求をいう(3-8-1保有個人データに関する事項の公表等、3-8-2保有個人データの開示、3-8-4保有個人データの訂正等、3-8-5保有個人データの利用停止等、3-8-3第三者提供記録の開示 参照)。 (※2)確認の方法としては、次のような事例が考えられるが、事業の性質、保有個人データの取扱い状況、開示等の請求等の受付方法等に応じて、適切なものでなければならない。 ① 本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにする等、本人に過重な負担を課するものとならないよう配慮しなくてはならない。 ② 代理人による来所や送付等の場合にあっては、確認書類として、本人及び代理人についての次の事例に示す書類等のほか、代理人について、代理権を与える旨の委任状(親権者が未成年者の法定代理人であることを示す場合は、本人及び代理人が共に記載され、その続柄が示された戸籍謄抄本、住民票の写し。また、成年後見人が成年被後見人の法定代理人であることを示す場合は、登記事項証明書)が考えられる。
(※3)開示等の請求等を受け付ける方法を定めない場合には、自由な申請を認めることとなるので注意が必要である。 |
3-8―8 手数料 (法第38条関係)
事業者は、保有個人データの利用目的の通知(3-8-1保有個人データに関する事項の公表等 参照)を求められ、又は保有個人データの開示の請求(3-8-2保有個人データの開示 参照)もしくは第三者提供記録の開示の請求(3-8-3第三者提供記録の開示 参照)を受けたときは、当該措置の実施に関し、手数料の額を定め、これを徴収することができる。
(1)当該手数料の額を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)(3-8-1保有個人データに関する事項の公表等 参照)に置いておかなければならない。
(2)手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
3-8-9 裁判上の訴えの事前請求 (法第39条関係)
本人が、自己が識別される保有個人データの開示(※1)、訂正等(※2)、利用停止等(※3)もしくは第三者提供の停止(※4)又は自己が識別される個人データに係る第三者提供記録の開示(※5)の請求について裁判上の訴えを提起しようとするときは、事業者に対して、あらかじめ裁判外において当該請求を行い、かつ、当該請求が当該事業者に到達した日から2週間を経過した後でなければ、当該訴えを提起することができない(※6)。
(1)本人が、自己が識別される保有個人データの開示、訂正等、利用停止等もしくは第三者提供の停止又は自己が識別される個人データに係る第三者提供記録の開示の請求について仮処分命令を申し立てるときも、同様に、事業者に対して、あらかじめ当該請求を行い、かつ、当該請求が当該事業者に到達した日から2週間を経過した後でなければ、当該訴えを提起することができない。
(2)事業者が当該裁判外の請求を拒んだとき(※7)は、2週間を経過する前に、当該請求に係る裁判上の訴えを提起することができる。
(※1)保有個人データの開示については、「3-8-2保有個人データの開示」を参照。 (※2)保有個人データの訂正等とは、保有個人データの訂正、追加又は削除のことをいう(3-8-4保有個人データの訂正等 参照)。 (※3)保有個人データの利用停止等とは、保有個人データの利用の停止又は消去のことをいう(3-8-5保有個人データの利用停止等 参照)。 (※4)保有個人データの第三者提供の停止については、「3-8-5保有個人データの利用停止等」を参照。 (※5)第三者提供記録の開示については、「3-8-3第三者提供記録の開示」を参照のこと。 (※6)例えば、本人から事業者に対する保有個人データの開示請求が4月1日に到達した場合には、本人が当該請求に係る裁判上の訴えを提起することができるのは、当該到達日から2週間が経過した日(4月16日)以降となる。 (※7)「当該裁判外の請求を拒んだとき」とは、法第33条第3項(同条第5項において準用する場合を含む。)、第34条第3項、及び第35条第7項の通知の場合のほか、事業者が当該請求を行った者に対して特に理由を説明することなく単に当該請求を拒む旨を通知した場合等も含まれる。 |
3-9 個人情報の取扱いに関する苦情処理 (法第40条関係)
事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない(※1)。
(1)苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない(※2)。
(2)保有個人データの取扱いに関する苦情の申出先について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない(3-8-1保有個人データに関する事項の公表等 参照)。
(3)認定個人情報保護団体の名称及び苦情解決の申出先について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない(3-8-1保有個人データに関する事項の公表等 参照)。
(※1)無理な要求にまで応じなければならないものではない。 (※2)事業者が会員等本人との信頼関係を構築し事業活動に対する社会の信頼を確保するためには、「個人情報保護を推進する上での考え方や方針(プライバシーポリシー、プライバシーステートメント等)」を策定し、それをホームページへの掲載又は会館の見やすい場所への掲示等により公表し、あらかじめ、対外的に分かりやすく説明することや、委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めることも重要である。 |