提供記録作成義務
個人情報の保護に関する法律(以下、法)により、個人情報取扱事業者1が個人情報を第三者提供する際には予め本人の同意が必要です(法第27条第1項)。また、第三者に提供した記録の作成が求められています(法第29条第1項)。この記録をどの部署が作るかは各社で異なると思いますが、誰がやってもいい仕事というのは往々にして誰もやらない(やりたくない)傾向があります。個人情報を提供した部署が作る/コンプラが一括して作る/総務でお願いできないか など責任部署を決めるところでひっかかったりします。
個人情報を第三者が利用可能な状態に置くと、法上の整理としては「第三者提供」「委託」「共同利用」のいずれかになります。「委託」「共同利用」の場合には法第29条の第三者提供記録は作成不要とされています。
「委託」「共同利用」のデメリット
そうすると、めんどくさい記録簿なんて書きたくないから、「委託」または「共同利用」にしてしまう対応が考えられますが、両者には実務上の負荷があります。共同利用に関しては、共同理由の目的と共同利用者を個人情報保有者本人に予め通知しなければなりません。「委託」の場合は個人情報保有者に予め通知すべきは利用目的のみですが、委託先の監督義務が課せられます(法第25条)。個人情報保護委員会が作成している「個人情報の保護に関する法律についてのガイドライン(通則編)」23-4-4で、委託元に課せられる監督義務を詳説しており、要点をまとめると「個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置が委託先で講じられていることの監督」および「委託された個人データの取扱状況を把握するために、定期的に監査を行うこと等で状況を把握」となります。
率直なところ、委託先の個人情報管理体制を正確に把握し、監督し、必要な場合には是正を求め、是正完了まで見届けるのは現実的ではありません。第三者提供記録簿を書きたくないからというだけで安直に「共同利用」や「委託」を選択すべきではありません。
第三者提供記録の項目
前述のとおり、個人情報の第三者提供は本人の同意を得なければ原則不可です。この同意を得ている前提で、第三者提供記録の作成にフォーカスを充てます。関連する条文は法第29条と法規則第20条です。厳密には第27条第1項(本人の同意)と第2項(オプトアウトかつ個人情報保護委員会に届出)で第三者提供記録の記載項目は異なるのですが、記録簿の項目は双方を網羅し、実態に合わせて「ー」などを記載するのがよいと考えます。
| パターン/記載項目 | 1 | 2 | 3 | 4 | 5 | 6 |
| 本人の同意 | 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨 | 第三者の氏名/名称 | 第三者の住所 | 第三者が法人である場合の代表者の氏名 | 個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 | 個人データの項目 |
| オプトアウトかつ個人情報保護委員会に届出 | 個人データを提供した年月日 | 同上 | 同上 | 同上 | 同上 | 同上 |
ご参考として、記録簿のひな型を作成しました。お役に立てば幸いです。(投稿時点の法令に基づくもの。注意をもって作成しましたが、利用より生じた一切の不利益に責任を負いません。自己の判断でご利用ください。)
https://asset-management-compliance.com/wp-content/uploads/2023/12/第三者提供記録簿.xlsx
