こんにちは!BICP DATA 弁護士の中村です。
ガイドラインの個人関連情報について、(やっと)最終回になります。今回は、「記録義務」。これは複雑な規定ではありませんので、理解しやすいかと思います。
早速見ていきましょう!
1.提供元による記録義務
まずは、提供元による記録義務に関する規定を見ていきます。
(1)提供元による記録作成義務
提供元においては、【確認】を行った場合は、その記録を作成しなければならない、とされています。
その場合、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならないとされています。
◆マメ知識:マイクロフィルムとは?
マイクロフィルムとは、「カメラで被写体である資料を通常1/10~1/30に縮小撮影する写真技法」です。デジタル時代においては、電子データのバックアップとして用いられる、とのこと。なお、マイクロフィルムの期待寿命は500年だそうです!
(2)提供元による記録作成方法
では、どういう風に記録を作っていけば良いのでしょうか。
これについては、
とされ、具体的には、
とされています。
例えば、毎月末に個人関連情報を提供するという内容のデータ提供基本契約を締結し、その内容から、数年にわたり当該契約関係が継続すると思われるような場合、というようなケースが考えられます。
一般に、事業者間において継続的に又は反復して個人関連情報の提供が行われる場合には、基本契約などを締結して契約書を作成することが多いでしょうから、それで対応できることになりますね!
また、
ともされており、例として、
が挙げられています。
例えば、提供元が提供先に対して広告配信を依頼し、提供元から提供先に対して個人関連情報が提供された場合に、提供元・提供先間での広告配信契約の中に、当該個人関連情報に関する記録事項を記載しておく、といった場合が考えられます。
仮に、先ほどのような基本契約書がなくても、このような契約書は作成されるでしょうから、その契約書に、3.で述べる記録事項を記載しておけば、追加で記録を作成しなくても問題ないことになります。
また、もしそれらに該当しない場合には、以下の方法が挙げられています。
この場合、対象期間、対象範囲等を明確にすることが望ましいとされています。
これは、「都度」記録を作成しなければならない、というのが原則とされながらも、継続的又は反復して個人関連情報を提供する場合には、都度作成しなくとも、
①最初の提供の際に記録を作成し(「都度」のタイミングで)、その後は、期間内に「良きタイミングにて」作成する方法
②月次で記録を作成する方法
③対象期間終了後速やかにまとめて記録する方法
が認められる、ということです。
(3)提供元による記録事項
次に、提供元においては、以下の4点を記録しなければならないとされています。
④については、例えば、
a)ウェブサイトの閲覧履歴
b)商品購入履歴
c)年齢、性別
といったものが挙げられます。
(4)参考:提供元による記録事項(他の事項との比較)
以下はガイドラインに記載された、個人関連情報の第三者提供における提供元による記録事項と各種第三者提供による記録事項の比較表になります。頭の整理の参考にしていただければと思います。
なお、以下の場合には、記載を省略できます。
・すでに記録された事項と内容が同一であるもの
・令和 2 年改正法の施行日の前に上記に規定する方法に相当する方法で作成した記録
準備が整えば、2021年4月1日を待たずに記録しておくとよいですね!
(5)提供元による記録の保存期間
提供元による記録の保存期間については、以下の通りです。
例えば、契約書であれば、通常1年以上の保管期間を設けていると思いますので、それ以外の場合についてひとまず「3年」と覚えておけば良いでしょう。
2.提供先による記録義務
次に、提供先による記録義務について見てみましょう。
(1)提供先による記録作成義務
提供先は、個人関連情報の提供を受けて個人データとして取得する場合は、記録義務を負います。
提供先は、その記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない点は、提供元と同様です。
(2)提供先による作成方法
提供先は、記録を作成する場合、
とされ、具体的には、
とされています。
このあたりは、提供元による義務と同様です。
そして、例えば、
ことも、提供元による場合と同様です。
また、
とされています。
なお、この要件を満たさない書面も、記録事項が記載されていれば記録として認められますが、保存期間の違いに留意する必要があります。
(3)提供先による記録事項
提供先においては、以下の4点を記録しなければならないとされています。
なお、①については、同意の取得や情報提供について、これを行ったことを示す証跡等がある場合には、当該証跡等をもって記録とすることもできる、とされています。
なお、③の「その他の当該本人を特定するに足りる事項」に該当する事例として、
本人ごとに番号・IDなどを付して個人データの管理をしている場合において、当該番号・IDなどにより本人を特定できるときの当該番号・ID
が挙げられています。
逆に、「当社が有する全ての個人情報に係る本人」等の記載では、「当該本人を特定するに足りる」ものではないと解される、とされています。
また、④については、提供元によるのと同様、具体的には、
a)ウェブサイトの閲覧履歴
b)商品購入履歴
c)年齢、性別
といったものが挙げられます。
(4)参考:提供先による記録事項(他の事項との比較)
以下は、ガイドラインに記載された、個人関連情報の提供を受けて個人データとして取得した場合における提供先による記録事項と各種第三者提供による記録事項の比較表になります。頭の整理の参考にしていただければと思います。
なお、以下の場合に記載を省略できるのは、提供元の場合と同様です。
・すでに記録された事項と内容が同一であるもの
・令和 2 年改正法の施行日の前に上記に規定する方法に相当する方法で作成した記録
なお、記録事項のうち、一部の事項の記録の作成を省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点 は、残りの事項を作成した時点となります。
(5)提供先による記録の保存期間
記録の保存期間については、以下の通りです。
保存期間についても、提供元によるものと同様の規定が置かれていますので、同じことが当てはまります。
すなわち、例えば、契約書であれば、通常1年以上の保管期間を設けていると思いますので、それ以外の場合についてひとまず「3年」と覚えておけば良いでしょう。
■最後に
以上、4回にわたって個人関連情報を見てきましたが、いかがでしたでしょうか?
細かい規制が色々とあり、ややこしいですね。
ただ、すべての事業者において個人関連情報を大量に取り扱っているわけではないと思います。
そこで、インターネットを活用している事業者を中心に、まずは、
あるいは、
といったことを行ってみてください。まずは己を知ることから始めましょう!
弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱いについてのご相談をお受けしております。
まずはお気軽にご相談ください。ご連絡お待ちしております!