こんにちは!BICPDATA 弁護士の中村です。
個人関連情報についてのガイドライン解説ですが、実際に書いてみたら長くなってしまい、前回は「提供先がすべきこと」だけで終わってしまいました…。
それでは、続けてまいりましょう!!
2.提供元がすべきこと
次に、提供元(個人関連情報を集めて第三者=提供先に渡す企業)は何をしなければならないのでしょうか。
提供元は、提供先が本人の同意を取得したことを確認しなければならない、とされていますが、具体的には何をどう確認しなければならないのでしょうか。
(1)本人の同意等の確認の方法
まず、「本人の同意を取得」とは、前述のとおり、一言で言えば、個人データとして取得することを認める旨の本人の同意を得られていること、です。
提供元は、提供先から申告を受ける方法その他の適切な方法によって本人同意が得られていることを確認しなければならず、その際の申告内容は、①本人から同意が取得されていること、②どのように同意を取得したか、の2点になるものと考えられます。
どういう方法が「提供先から申告を受ける方法」「その他の適切な方法」か、については、ガイドラインに以下のような例示が記載されていますので、参考にしてください。
【第三者から申告を受ける方法に該当する事例】
①提供先の第三者から口頭で申告を受ける方法
②提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる方法
【その他の適切な方法に該当する事例】
①提供先の第三者が取得した本人の同意を示す書面等を確認する方法
②提供元の個人関連情報取扱事業者において同意取得を代行して、当該同意を自ら確認する方法
なお、複数の生活者から同意を取得している場合(これが通常かと思いますが)について、以下のような記載もあります。
[提供先において、複数の本人から同一の方式で同意を取得している場合、提供元はそれぞれの本人から同意が取得されていることを確認する必要があるが、同意取得の方法については、本人ごとに個別の申告を受ける必要はなく、複数の本人からどのように同意を取得したか申告を受け、それによって確認を行えば足りる。]
これは例えば、
A~Dさんについて情報取得画面にチェックボックスを設けて同意を取っている
E~Gさんについてメールの返信をもらって同意を取っている
という場合に
①A~Gさんから同意を得ている
②情報取得画面のチェックボックスおよびメールにより同意を取得している
というまとめた申告・確認で足り、「A~Dさんは情報取得画面で」、「E~Gさんはメールで」というように、一人一人、個別の同意取得経緯までは必要ないということになります。
なお、提供先から提供元に対する申告に際し、提供先が本人同意取得済みの ID 等を提供する行為は個人データの第三者提供に該当する場合がありますが、同意取得のための確認行為において必要となる情報のみを提供する場合は、「法令に基づく場合」に該当し、第三者提供には当たらないことになります。
この点については、提供先は申告に際して気をつけたいところではありますね。
(2)提供先が外国にある場合における同意の確認方法
つぎに、外国にある第三者への提供にあっては、同意が得られていることに加え、必要な情報が当該本人に提供されていることを確認しなければならない、とされています。
(a) 必要な情報とは?
必要な情報とは、以下の3つを指します。
(1)当該外国の名称
(2)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
(3)当該第三者が講ずる個人情報の保護のための措置に関する情報
ただし、次の①又は②のいずれかに該当する場合には、必要な情報の確認義務はありません。
① 当該第三者が個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している国にある場合 =EU
② 当該第三者が個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している場合
なお、②を満たす国にある第三者に個人関連情報を提供した場合には、提供元は、次の(ア)及び(イ)の措置を講じなければならない、とされています。
(ア) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること
(イ) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人関連情報の当該第三者への提供を停止すること
(b) 「必要な情報の提供が行われていることを確認」する方法とは?
必要な情報の提供が行われているかどうかについては、書面の提示を受ける方法その他の適切な方法によって確認しなければならない、とされています。
具体的には、以下のような例が示されています。
【書面の提示を受ける方法に該当する事例】
①提供先が本人に対して情報の提供を行う際に使用している書面の提示を受ける方法
②提供先が本人に対してホームページ上で情報の提供を行っている場合において、当該ホームページの写しの提示を受ける方法
③提供先の第三者が本人に対して情報の 提供を行っていることを誓約する書面を受け入れる方法
これらについては、
例えば、
①⇒対面で説明を受ける際に該当する国の法制度を説明した書面の交付を受ける
②⇒提供先ホームページに掲載しているプライバシーポリシー内で該当する国の法制度の説明をしている場合にプライバシーポリシーをプリントアウトしたものを受け取る
③⇒提供先から、情報提供している旨の誓約書の提出を受ける
といったことが考えられます。
【その他の適切な方法に該当する事例】
①提供先が本人に対してホームページ上で情報の提供を行っている場合において、当該ホームページの記載内容を確認する方法
②提供元において同意取得を代行している場合において、同意取得に当たって必要な情報が提供されていることを自ら確認する方法
これらについては、
例えば、
①⇒提供先ホームページに掲載しているプライバシーポリシーで該当する国の法制度の説明をしている場合に、それを自ら見る
②⇒提供元が同意取得を代行する際に、代行手順内で当該情報を自ら確認する
といったことが考えられます。
色々と細かいことがたくさんありますが、ガイドラインの具体例のおかげで、ずいぶんとイメージしやすくなってきましたね。
■一度確認・作成すれば大丈夫
何回も同じ人の個人関連情報を提供する場合には、個人データとして取得することを認める旨の本人の同意を得られていること等の確認を行い、記録し、その記録と内容が同一の者については、確認は省略できる、とされています。
同じことを何度も確認することは本人にとっても企業側にとっても合理的ではないですもんね。
また、今回の改正の施行日前に改正法に規定する方法に相当する方法で作成した記録であっても同様、とされています。
ということで、4月を待たずとも、対応する準備が整えば順次実施していけば良いですね。
■続きはまた次回に
ここまでが、「本人同意」に関する“あれこれ”でした。分量が多くて大変ですよね。 私もいざ書いてみて、四苦八苦しました(苦笑)。
次回は、個人関連情報の「記録義務」についてです!
ご意見、ご質問など、どしどしいただければと思います!
WRITTEN BY: BICP DATA Inc. 中村恵美子