渡邉雅之弁護士の改正個人情報保護法に関するコメントが日本経済新聞5月29日朝刊に掲載されました。
2017/05/29
渡邉雅之弁護士の改正個人情報保護法に関するコメントが日本経済新聞5月29日朝刊の法務面「情報を極める〜個人情報保護法�E」に掲載されました。
改正個人情報保護法では、個人の開示、訂正、利用停止などの請求ができ、裁判上の請求ができることが明確化されましたが、「提訴されて関連業務が増えることを考慮し、開示に前向きになる企業が増える可能性がある」と指摘させていただきました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
(関連著書)
『これ一冊で即対応 平成29年施行改正個人情報保護法 Q&Aと誰でもつくれる規程集 増補版』(第一法規)
『個人情報保護法・マイナンバー制度 法的リスク対策と取扱規程』(日本法令)
改正個人情報保護法:5月30日施行前のチェックポイント
2017/05/01
【執筆者 渡邉雅之】
渡邉雅之弁護士の以下の書籍が刊行されています。
『これ一冊で即対応 平成29年施行改正個人情報保護法 Q&Aと誰でもつくれる規程集 増補版』(第一法規)_
『個人情報保護法・マイナンバー制度 法的リスク対策と取扱規程』(日本法令)
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
1 個人識別符号
改正法の全面施行により、個人情報(法2条1項)の定義に、新たに個人識別符号(法2条1項2号、2項)が加わります。個人識別符号とは、身体的特徴のうち本人認証が可能なもの(顔認証データ、指紋認証データ等)、個人に割り当てられた公的番号(運転免許証番号、旅券番号等)をいいます。
取扱規程や約款においては、個人識別符号に該当するものは多数あるので、下記のとおり、「法第2条第2項に定めるもの」として省略するか、または、「別紙」として規定することが考えられます。
_
第〇条(定義)
1 「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
�@ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の近くによっては認識できない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
�A 個人識別符号が含まれるもの
2 「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、【法第2条第2項/別紙1】で定めるものをいう 。
�@ 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
�A 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
_
2 要配慮個人情報
改正法の全面施行により、個人情報のうち、機微情報に該当するものが「要配慮個人情報」(法2条3項)として定義され、原則として本人の同意が必要となります(法17条2項)。
要配慮個人情報は多数あるので、取扱規程や約款においては、下記のとおり、「法第2条第3項」として省略するか、または、「別紙」として規定することが考えられます。
_
(定義)
第〇条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
1・2(略)
3 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして【法第2条第3項/別紙2】で定める記述等が含まれる個人情報をいう。
_
(適正な取得)
第〇条 当社は、偽りその他不正な手段により個人情報を取得してはならない。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
�@ 法令に基づく場合
�A 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
�D 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
�E 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
�F 法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき。
_
_
3 個人情報データベース等
改正法の全面施行により、過去6か月以内のいずれの日においても個人情報データベース等を構成する個人情報の数が5,000を超えない者についての、個人情報取扱事業者から除外が廃止されます。そこで、個人情報取扱事業者の定義について下記のとおり修正することが考えられます。
_
(定義)
第〇条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
5 「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
�@ 国の機関
�A 地方公共団体
�B 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成15年法律第59号)第2条第1項 に規定する独立行政法人等をいう。)
�C 地方独立行政法人(地方独立行政法人法 (平成15年法律第118号)第2条第1項 に規定する地方独立行政法人をいう。)
�D その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去六月以内のいずれの日においても5,000を超えない者
_
4 第三者提供の確認・記録義務
改正法の全面施行により、個人情報取扱事業者は、個人データを第三者に提供したときは、第三者提供に係る記録を作成・保存の義務を負うことになります(法25条)。また、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認を行うとともに記録の作成・保存義務を負います(法26条)。取扱規程には、以下のような規定を設けることが考えられます。
_
(第三者提供をする際の記録)
第〇条 当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第〇条第1項各号に該当する場合【注:法23条1項各号に該当する場合】又は同条6項各号のいずれかに該当する場合【注:法23条5項各号に該当する場合】は、この限りでない。
2 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第5項に該当する場合を除き、第三者から個人データの提供をした都度、速やかに作成しなければならない。
4 第2項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(第〇条第2項までの方法により個人データの提供を受けた場合を除く。)をしたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
5 第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6 第〇条第2項に基づき【注:法23条2項のオプトアウト手続による場合】個人データを第三者に提供した場合は別紙〇−1の「個人データ提供記録簿」に以下の事項を記録するものとする。
�@ 当該個人データを提供した年月日
�A 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
�B 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�C 当該個人データの項目
7 第〇条第1項【注:法23条1項に相当する規定】又は前条【注:法24条に相当する規定】に基づく本人の同意を得て個人データを第三者に提供した場合は別紙〇−2の「個人データ提供記録簿」に以下の事項を記録するものとする。
�@ 本人の同意を得ている旨
�A 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
�B 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�C 当該個人データの項目
8 第6項及び前項の記載事項のうち、第2項から第5項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
9 当社は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合
期間
�@ 本人を当事者とする契約書等に基づく個人データの提供の場合
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
�A 個人データを継続的に若しくは反復して提供する場合
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
�B 上記�@又は�A以外の場合
当該記録を作成した日から3年間
_
(第三者提供を受ける際の確認及び記録)
第〇条 当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第〇条第1項各号に該当する場合【注:法23条1項各号に該当する場合】又は同条6項各号【注:法23条5項各号に該当する場合】のいずれかに該当する場合は、この限りでない。
�@ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�A 当該第三者による当該個人データの取得の経緯
2 当社が、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
場合
方法
�@ 前項1号に該当する事項
個人データを提供する第三者から申告を受ける方法その他の適切な方法
�A 前項2号に該当する事項
個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法
_
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
4 当社は、前3項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
一 第〇条第2項の方法【注:法23条2項のオプトアウト手続による方法】により個人データの提供を受けた場合(別紙〇−1の「個人データ受領記録簿」に記録するものとする。)
�@ 個人データの提供を受けた年月日
�A 当該第三者の氏名又は名称
�B 当該第三者の住所
�C 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�D 当該第三者による当該個人データの取得の経緯
�E 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�F 当該個人データの項目
�G 法第23条第4項に基づき個人情報保護委員会による公表がされている旨
二 第〇条第1項【注:法23条1項に相当する規定】又は第〇条【注:法24条に相当する規定】に基づく本人の同意を得て第三者に提供した場合(別紙〇−2の「個人データ受領記録簿」に記録するものとする。)
�@ 本人の同意を得ている旨
�A 当該第三者の氏名又は名称
�B 当該第三者の住所
�C 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�D 当該第三者による当該個人データの取得の経緯
�E当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�F当該個人データの項目
三 個人情報取扱事業者ではない第三者から提供を受けた場合(別紙〇−3の「個人データ受領記録簿」に記録するものとする。)
�@ 当該第三者の氏名又は名称
�A 当該第三者の住所
�B 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�C 当該第三者による当該個人データの取得の経緯
�D当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�E当該個人データの項目
5 前項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録の作成方法は、前条第2項から第5項までの方法による。
7 当社は、第4項又第5項により作成した記録を、前条第9項の場合に応じて所定の期間保存するものとする。
_
もっとも、一般の事業者が本人の同意を得て個人データを第三者提供する場合は、ほとんど、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」(個人情報保護法ガイドライン(確認・記録義務編)2-2-1)、「解釈により受領者に確認・記録義務が適用されない場合」(同ガイドライン2-2-2)に該当し、確認・記録義務は適用されないと考えてよいです。特に、解釈上の例外である「本人に代わって提供する場合」に該当するケースが多いでしょう。
確認・記録義務がないと整理した事業者においては、以下のような簡易な規定をすることも考えられます。
(第三者提供をする際の記録)
第〇条 当社は、個人データを第三者に提供したときは、法第25条に基づき記録を作成及び保存するものとする。
(第三者提供を受ける際の確認及び記録)
第〇条 当社は、第三者から個人データの提供を受けるに際しては、法第26条に基づき、確認並びに記録の作成及び保存をするものとする。
_
5 オプトアウト手続に関する規定
改正法の全面施行により、オプトアウト手続が厳格化し、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く」方法が定められるとともに、個人情報保護委員会への事前の届出が必要となります(法23条2項)。取扱規程には、以下の下線のような追加をすることが考えられます。
_
(第三者提供の制限)
第〇条 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(略)
2 当社は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
�@ 第三者への提供を利用目的とすること。
�A 第三者に提供される個人データの項目
�B 第三者への提供の方法
�C 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
�D 本人の求めを受け付ける方法
3 当社は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 第2項及び前項における「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」とは以下のいずれかの措置を講ずることをいう。
�@ 第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
�A 本人が第三者に提供される個人データの項目等の第1項各号の事項を確実に認識できる適切かつ合理的な方法によること。
5 当社は、第2項及び第3項による個人情報保護委員会に対する届出事項が同委員会により公表された後、速やかに、インターネットの利用その他の適切な方法により、第三者に提供される第2項各号の事項(変更があったときは、変更後の事項)を公表するものとする。
6 ・7(略)【注:法23条第5項各号に該当する場合の規定】
_
6 外国にある第三者への提供の制限
改正法の全面施行により、個人情報取扱事業者が、個人データを外国にある第三者に提供する場合には、法23条は適用されず、法24条の規定が適用されることになります。法24条においては、個人情報取扱事業者は、外国にある第三者に個人データを提供するには、法23条1項各号に該当する場合を除き、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意がなければならなくなります。
ただし、「個人情報保護委員会規則で定める国・地域にある第三者への提供に該当する場合」又は「個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合」は、法24条ではなく法23条の規律が適用されます。
「個人情報保護委員会規則で定める国・地域にある第三者への提供に該当する場合」は定められなかったので、「個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合」である「個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること」(個人情報の保護に関する法律施行規則11条1号)及び「個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること」(同条2号)についてのみ規定例においては定めています。
前者の「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」については、「個人情報の保護に関する法律ついてガイドラン(第三者提供時の確認・記録義務編)」に規定されている具体例を別紙で規定しています。
_
(外国にある第三者への提供の制限)
第〇条 前条にかかわらず、当社が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当する者を除く。)に個人データを提供する場合は、前条第1項各号に該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。ただし、以下のいずれかに該当する場合は前条【注:法23条の個人データの第三者提供の制限に関する規定】を適用するものとする。
�@ 当該外国の第三者が「適切かつ合理的な方法」により、「法第4章第1節の規定の趣旨に沿った措置」を講じている場合
�A 当該外国の第三者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けている場合
2 前項第1号における「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」は、別紙〇(「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」)に規定するところに従う。
_
(別紙〇)
_
「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」
_
個人情報取扱規程第〇条に定める「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」は以下のとおりとする。
_
1 適切かつ合理的な方法
「外国にある事業者に個人データの取扱いを委託する場合」及び「同一の企業グループ内で個人データを移転する場合」ついて、それぞれ以下に定めるとおりとする。
(1)外国にある事業者に個人データの取扱いを委託する場合
提供元及び提供先間の契約、確認書、覚書等において定める。
(2)同一の企業グループ内で個人データを移転する場合
提供元及び提供先に共通して適用される内規、プライバシーポリシー等において定める。
_
2 法第4章第1節の規定の趣旨に沿った措置
当社が、外国にある事業者に顧客データの入力業務を委託する場合についての具体的な措置は、以下に定める事項のとおりとする。
_
法第15条
利用目的の特定
委託契約において、外国にある事業者による利用目的を特定する。
法第16条
利用目的による制限
委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。
法第17条
適正な取得
外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
法第18条
取得に際しての利用目的の通知等
日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。
法第19条
データ内容の正確性の確保等
委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うことになる。
法第20条
安全管理措置
委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。GL(通則編)「(別添)講ずべき安全管理措置の内容」を参照。
法第21条
従業者の監督
委託契約により外国にある事業者の従業者の監督に係る措置を規定する。
法第22条
委託先の監督
委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
�@適切な委託先の選定
�A委託契約の締結
�B委託先における個人データ取扱状況の把握
法第23条
第三者提供の制限
委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
法第24条
外国にある第三者への提供の制限
委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法22条の委託先の監督義務のほか、法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
法第27条〜第33条、第35条
保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理
提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
_
なお、外国にある第三者に個人データを提供しない事業者においては、規定自体を追加しないことも考えられます。
_
7 外国にある第三者への委託契約書への追加
上記6で説明した外国にある事業者に個人データの取扱いを委託する場合には、委託契約書(英文)については、下記のような覚書(Side Letter Agreement)で必要な規定を追加することが考えられます。
_
SIDE LETTER AGREEMENT
This Side Letter Agreement (this “Agreement”) is made as of [___ ], 2017, by and among [________________ ], a company incorporated in [ _ _ _ _ _] (the “Data Importer”) and [________________ ] (the “Data Exporter”).
RECITALS
WHEREAS, the Data Importe and_the Data Exporter have entered into Data Protection Agreement, dated as of [___ ], 2017 (the_“Data Protection Agreement”); and
WHEREAS, the Data Importer and the Data Exporter desire to enter into this Agreement to comply with the restrictions pursuant to the Act on the Protection of Personal Information of Japan (Act No. 57 of 2006, as amended, the “APPI”) and the Guideline for Protection of Personal Information (Chapter for transfer to foreign third party)_(Personal Information Protection Commission Notification No 7 of 2016, as amended, “Guideline”).
NOW, THEREFORE, in consideration of the foregoing, the parties hereto, intending to be legally bound, hereby agree as follows:
1._Personal Data
Parties of this Agreement shall treat ‘personally identifiable information’ pursuant to the Act on the APPI as “Personal Data” under Clause 1(a) of the Data Protection Agreement.
2. Sensitive Information
If the personal data falls within the definition of “personal data taking extra attention” under the APPI, the Data Exporter may obtain such information upon the consent of the data subject.
3. Purpose of utilizing personal data
The data importer agrees and warrants that it will process the personal data only on behalf of the data exporter and within the purpose of utilization of the data exporter shown to a data subject by the data exporter.
4. Assurance etc. about the Accuracy of Data Contents
The data importer agrees and warrants to strive to keep personal data accurate and up to date within the scope necessary to achieve a utilization purpose, and to delete the personal data without delay when such utilization has become unnecessary.
5. Transfer restriction
The data importer agrees and warrants that it will not transfer the personal data.
6. Handling of Personal Data
The data exporter agrees and warrants that it will correspond to data subjects’ request for disclosure, correction, suspension of utilization, or suspension of processing of his/her personal data._
7. Unlawful access of Personal Data
The data exporter agrees and warrants that If it becomes aware of any unlawful access to personal data of a data subject, stored on its equipment or in its facilities, or unauthorized access to such equipment or facilities resulting in loss, disclosure, or alteration of personal data of the data subject, it will promptly: (i) notify the data exporter of the security breach; and (ii) sincerely cooperate with the data exporter for investigating the security breach and for taking reasonable steps to mitigate the effects and to minimize any damage resulting from the security breach.
_
IN WITNESS WHEREOF, the parties hereto, intending to be legally bound by the terms hereof, have caused this Agreement to be executed as of the date first above written by their officers or other representatives thereunto duly authorized.
_
_
_
_
[_________________________ ]
_
_
_
_
_
By:
_
/s/
_
_
_
_
_
Name:
_
_
Title:
_
_
_
_
_
_
_
_
[_________________________ ]
_
_
_
_
_
By:
_
/s/
_
_
_
_
_
Name:
_
_
Title:
_
_
_
_
8 保有個人データの開示・訂正・利用停止等
改正法の全面施行により、開示、訂正等、利用停止等、第三者提供の停止等について、裁判上の請求もできることが明確化されます(法28条1項、29条1項、30条1項、3項)。
これに伴い、取扱規程における規定においても「開示の求め」や「訂正等の求め」という文言を「開示の請求」や「訂正等の請求」に改める必要があります。
_
9 安全管理措置
「個人情報の保護に関する法律ついてガイドラン(通則編)」の「8 (別添) 講ずべき安全管理措置の内容」において以下の措置を「講じなければならない措置」として定めています。取扱規程には、安全管理措置としてこれらの項目に関する事項を定める必要があります。
これに対して、当該ガイドラインに規定されている「具体的な手法」については必ずしも全てこれを実施する必要はありません。たとえば、「個人データを取り扱う区域の管理」については、取扱区域に関する具体例である「壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止」を全て実施する必要があるわけではありません。
組織的安全管理措置
・組織体制の整備
・個人データの取扱いに係る規律に従った運用
・個人データの取扱状況を確認する手段の整備
・漏えい等の事案に対応する体制の整備
人的安全管理措置
・従業員の教育
物理的安全管理措置
・個人データを取扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち運ぶ場合の漏洩等の防止
・個人データの削除及び機器、電子媒体等の廃棄
技術的安全管理措置
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報システムの使用に伴う漏えい等の防止
_
10 委託契約書の留意点
「個人情報の保護に関する法律ついてガイドラン(通則編)」3−3−4においては「委託先の監督」として、委託契約に定める事項として以下の事項を規定しています(努力義務)。
�@委託先における委託された個人データの取扱状況を委託元が合理的に把握すること(努力義務)
*定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討する。
�A委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認(努力義務)
(i)委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと
(ii)委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること
これらの事項は既に締結済みの個人データの取扱いの委託に関する契約においては規定済みの場合が多いと考えられます。
なお、再委託先については、「事前承認」だけでなく「事前報告」も許容されていますが、上記6・7のとおり、外国にある第三者への委託がなされる場合もあり得るので、「事前承認」としておくべきです。
_
金融財政事情2017年4月24日号に渡邉雅之弁護士が執筆した『銀行は取締役会評価をどう深化させればよいか』が掲載されました。
2017/04/21
金融財政事情2017年4月24日号に渡邉雅之弁護士が執筆した『銀行は取締役会評価をどう深化させればよいか』が掲載されました。
東京事務所の事務所説明会の募集を開始しました。
2017/04/17
東京事務所の事務所説明会の募集を開始しました。
詳細は下記をご覧下さい。
https://www.miyake.gr.jp/careers/tokyo/lawschool
改正個人情報保護法:個人情報取扱規程における確認・記録義務に関する規定の仕方
2017/04/04
【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
渡邉雅之弁護士が金融財務研究会で改正個人情報保護法のセミナーをします。
一般事業者に確認・記録義務が適用されることはほとんどない
第三者提供に係る確認・記録義務はもともと、名簿業者がいい加減なオプトアウトをして個人データを第三者提供していたことに端を発した制度設計です。
一般の事業者が本人の同意を得て個人データを第三者提供する場合は、ほとんど、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」(個人情報保護法ガイドライン(確認・記録義務編)2-2-1)、「解釈により受領者に確認・記録義務が適用されない場合」(同ガイドライン2-2-2)に該当し、確認・記録義務は適用されないと考えてよいです。特に、解釈上の例外である「本人に代わって提供する場合」に該当するケースが多いでしょう。
ただし、オプトアウト手続(法23条2項)により、提供・受領をする場合には、第三者提供に係る確認・記録義務があるのと考えた方がよいです。
個人情報取扱事業者において、確認・記録義務をする場合が想定されない場合には、個人情報取扱規程において以下のような簡単な規定を置くことも考えられます。ご参考ください。
第〇条 当社は、個人データを第三者に提供したときは、法第25条に基づき記録を作成及び保存するものとする。
第〇条 当社は、第三者から個人データの提供を受けるに際しては、法第26条に基づき、確認並びに記録の作成及び保存をするものとする。
弊職が作成した個人情報取扱規程にもその旨追記しましたのでご覧ください。
1-�C個人情報取扱規程
1-�D個人情報取扱規程(中小規模事業者用)
*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
_
_
渡邉雅之弁護士が特定複合観光施設区域整備推進会議の委員に選任されました。
2017/04/04
渡邉雅之弁護士が特定複合観光施設区域整備推進会議の委員に選任されました。
日本経済新聞
毎日新聞
カジノIRジャパン
渡邉雅之弁護士がChambers Global 2017においてランキングされました。
2017/03/26
渡邉雅之弁護士がChambers Global 2017のBanking & Finance: Domestic Firms: Financial Services Regulation — Japan においてランキングされました。
大阪事務所でのサマー・クラーク・プログラムの募集を開始いたしました。
2017/03/15
大阪事務所でのサマー・クラーク・プログラムの募集を開始いたしました。
詳しくは採用情報のページをご覧ください。
改正個人情報保護法:機微(センシティブ)情報と要配慮個人情報(規定例も紹介)(3月26日修正版)
2017/03/08
【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
渡邉雅之弁護士が金融財務研究会で改正個人情報保護法のセミナーをします。
_
本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)の改正に関して、平成29年2月29日に「金融分野における個人情報保護に関するガイドライン」(平成29年個人情報保護委員会・金融庁告示第1号、以下「金融分野ガイドライン」といいます。)が公布されました。金融分野ガイドラインの平成29年5月30日の施行に伴い、現在金融庁所管の同題名のガイドライン(以下「旧・金融庁ガイドライン」といいます。)は廃止されます。
その中で、一番注目されたのは、旧・金融庁ガイドラインの「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」がどのように、金融分野ガイドラインにおいて調整されるかでした。
1 「機微(センシティブ)情報」と「要配慮個人情報」の関係
旧・金融庁ガイドラインでは、「機微(センシティブ)情報」について、「政治的見解、信教(宗教、思想 及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保 健医療及び性生活、並びに犯罪歴に関する情報」と定義されていました(同ガイドライン6条1項)。
改正個人情報保護法では、「要配慮個人情報」は、「人種」、「信条」、「社会的身分」、「病歴」、「犯罪の経歴」、「犯罪により害を被った事実」、「身体障害、知的障害、精神障害等」「医師等の健康診断等の結果」、「医師等による指導・診療・調剤」、「刑事事件に関する手続」、「少年の保護事件に関する手続」とされています(法第2条3項、令3条)。
新たな金融分野ガイドラインにおいては、「機微(センシティブ)情報」が、『要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを 除く。)に関する情報(本人、国の機関、地方公共団体、法第 76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又 は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。』と定義されています(同ガイドライン5条1項)。
すなわち、金融分野ガイドラインの「機微(センシティブ)情報」は、旧・金融庁ガイドラインの「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」を併せたものとなります。
これを図にすると以下のとおりとなります。
〇「機微(センシティブ)情報」と「要配慮個人情報の関係」
_
旧・機微(センシティブ)情報
(旧・金融分野ガイドライン
第6条第1項)
要配慮個人情報
(保護法2条3項)
機微(センシティブ)情報
(金融分野ガイドライン
第5条第1項)
�@旧・機微(センシティブ)情報
=要配慮個人情報
・人種
・民族
・犯罪歴
・信教(宗教、思想及び信条)
・政治的見解
・人種
※人種、世系又は民族的若しくは種族的出身を広く意味する。
・犯罪の経歴
・信条
※個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むもの。
・人種
・犯罪の経歴
・信条
�A旧・機微(センシティブ)情報
>要配慮個人情報
・保険医療
※例えば、医師等の診療等によらず、自己判断により市販薬を服用しているといったケースを含み、要配慮個人情報より広い。
・病歴
・身体障害、知的障害、精神障害等
・健康診断の結果等
・医師等による保険指導・診療・調剤
・病歴
・身体障害、知的障害、精神障害等
・健康診断の結果等
・医師等による保険指導・診療・調剤
(旧・機微(センシティブ)情報に該当するが要配慮個人情報に該当しないもの)
・例えば、医師等の診療等によらず、自己判断により市販薬を服用しているといったケース
�B要配慮個人情報のみ
_
・社会的身分
・犯罪により害を被った事実
・刑事事件に関する手続
・少年の保護事件に関する手続
・社会的身分
・犯罪により害を被った事実
・刑事事件に関する手続
・少年の保護事件に関する手続
�C旧・機微(センシティブ情報のみ)
・労働組合への加盟
・門地
・本籍地
・性生活
_
・労働組合への加盟
・門地
・本籍地
・性生活
(出所)個人情報保護委員会作成資料
金融分野ガイドラインの「機微(センシティブ)情報」は、改正個人情報保護法の「要配慮個人情報」にはない、「労働組合への加盟」、「門地」、「本籍地」、「性生活」が対象とされています。また、「機微(センシティブ)情報」の「保健医療」には、「要配慮個人情報」には含まれない、「医師等の診療等によらず、自己判断により市販薬を服用しているといったケース」も含まれます。
他方、改正個人情報保護法の「要配慮個人情報」には、旧・金融庁ガイドラインの「機微(センシティブ)情報」には含まれなかった「社会的身分」、「犯罪により害を被った事実」、「刑事事件に関する手続」、「少年の保護事件に関する手続」が対象となっています。これらは、金融分野ガイドラインの「機微(センシティブ)情報」には含まれることになります。
旧・金融分野ガイドラインの「政治的見解、信教(宗教、思想及び信条をいう)」は、要配慮個人情報の「信条」に含まれます。
「要配慮個人情報」の「社会的身分」は、ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位をいいます。これに対して、「機微(センシティブ)情報」の「門地」は、特殊の家系に基づく身分をいいます。すたがって、両者が重なりあうことはありません。
なお、要配慮個人情報においては、本人の事前の同意取得の例外として定められている「公開情報」(本人、国の機関、地方公共団体、法第76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの)及び「外形情報」(本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの)については、「機微(センシティブ)情報」に該当しないものとされています。
2 「要配慮個人情報」と「機微(センシティブ)情報」の行為規制
(1)原則
要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融分野ガイドライン)
�@原則として、あらかじめ本人の同意を得ないで取得禁止。
�A利用制限はなし。
�B第三者提供の制限はオプトアウトが禁止される点のみ他の個人データと異なる。
原則として、取得、利用又は第三者提供禁止。
改正個人情報保護法の「要配慮個人情報」については、原則としてあらかじめ本人の同意を得ない取得を禁止していますが、利用制限は特になく、個人データである要配慮個人情報については第三者提供の制限がある点のみ要配慮個人情報以外の個人データと異なります。
他方、旧・金融庁ガイドライン、金融分野ガイドラインのいずれにおいても、「機微(センシティブ)情報」については、原則として、取得、利用又は第三者提供のいずれも禁止されます。
以上のとおり、「機微(センシティブ)情報」の取扱いの原則は、「要配慮個人情報」の取扱いの原則よりも格段に厳しいものです。
(2)例外
要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融分野ガイドライン)
�@ 法令に基づく場合
�A 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
�D 当該要配慮個人情報が、本人、国の機関、地方公共団体、保護法76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における保護法76条1項各号に掲げる者に相当する者により公開されている場合
�E 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
�F 委託、事業承継、共同利用(保護法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき。
ア 法令等に基づく場合
イ 人の生命、身体又は財産の保護のために必要がある場合
ウ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
エ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
オ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
カ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合キ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
ク 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
ケ 本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの
コ 本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの
金融分野の個人情報取扱事業者については、要配慮個人情報と機微(センシティブ)情報の規律を両方満たす必要があります。
金融分野ガイドラインの「機微(センシティブ)情報」は、原則として、取得、利用又は第三者提供がいずれも禁止されるため、例外は比較的広く認められています。
「要配慮個人情報」の例外の一つである「法令に基づく場合」(�@)は日本の法令のみが該当すると考えられますが、「機微(センシティブ)情報」の「法令等に基づく場合」(ア)は外国の法令に基づく場合も含まれると考えられ得ます。
「要配慮個人情報」の例外である�Aから�Cまでは、「機微(センシティブ)情報」の例外であるイからエまでに相当すると考えられますが、「要配慮個人情報」については「本人の同意を得るのが困難であるとき」(�A)や「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(�B・�C)という、「機微(センシティブ)情報」にはない限定があります。
「要配慮個人情報」の例外である�D(公開情報)及び�E(外形情報)は、「機微(センシティブ)情報」の定義には該当しないこととされています(金融分野ガイドライン5条1項本文)。
「機微(センシティブ)情報」の例外であるア〜クのいずれかに該当し、かつ、「要配慮個人情報」(�@〜�F)のいずれかに該当する場合は、あらかじめ本人の同意を得ることなく取得することができます。
「要配慮個人情報」の例外である�@(法令等に基づく場合)は、「機微(センシティブ)情報」の例外であるア(法令等に基づく場合)にも該当します。
「要配慮個人情報」の例外である「�F 委託、事業承継、共同利用(法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき」は、金融分野ガイドラインには規定されていませんが、「第三者」に該当しないものとして(法23条5項参照)解釈上、「機微(センシティブ)情報」の取得・利用・提供が認められています。
「機微(センシティブ)情報」のキ及びクの例外は、本人の同意がある場合であり、「要配慮個人情報」においても当然に取得・利用・提供が認められる場合です。
3 本人確認書類の取扱いの留意点
金融分野の事業者は、「機微(センシティブ)情報」の取得自体が原則として禁止されるので、本人確認書類に「機微(センシティブ)情報」の記載がある場合は、マスキング(黒塗り)をする必要があります。
この点、従来の旧・金融庁ガイドラインでは「機微(センシティブ)情報」に該当すると考えられてきた運転免許証の「眼鏡等の条件欄の記載」や「臓器提供意思確認欄の記載」、パスポートの「国籍」や「本籍」の記載が、金融分野ガイドラインの「機微(センシティブ)情報」には該当しないということがパブリックコメント回答で明らかになった点が注目されます。
_
本人確認書類
取扱検討事項
備考
個人番号カード
「個人番号」(裏面)、「臓器提供意思確認欄」(表面)
〇「個人番号」の記載されている裏面のコピーは取得すべきでない。「個人番号」の記録も避けるべき(番号法で取得制限)
〇「臓器提供意思確認欄」の記載は要配慮個人情報に該当しない。機微(センシティブ)情報には該当しない。
通知カード
番号法上の取得制限の観点で、そもそも本人確認書類として用いるのは適当でない。
−
住民票の写し
「本籍地」、「国籍」、「出生地」、「住民票コード」、「個人番号」
〇「個人番号」「住民票コード」が記載されている場合はこれらの記載もマスキングすべき。(「個人番号」は番号法で取得制限、「住民票コード」は住民基本台帳法で取得制限)
〇「本籍地」、は要配慮個人情報には該当しないが、機微(センシティブ)情報に該当。「国籍」は機微(センシティブ)情報に該当しない。
運転免許証
「免許証の条件等欄」
「臓器提供意思確認書欄」
_「条件等欄」「臓器提供意思確認欄」の記載は要配慮個人情報に該当しない。機微(センシティブ)情報にも該当しない。
パスポート
「本籍」、「国籍」
_「本籍」、「国籍」は要配慮個人情報には該当しない。「本籍」は、都道府県の記載のみであるので機微(センシティブ)情報にも該当しない。都道府県の記載のみであるので機微(センシティブ)情報にも該当しない。
身体障害者手帳
「障害名」、「障害等級」、「旅客鉄道株式会社旅客運賃減額欄」
_「障害名」、「障害等級」は要配慮個人情報・機微(センシティブ)情報に該当(「旅客鉄道株式会社旅客運賃減額欄」の記載は機微(センシティブ)情報には該当するが要配慮個人情報には該当しないか?)
健康保険証
「通院歴」、「臓器提供意思確認書欄」
_「通院歴」の記載は要配慮個人情報・機微(センシティブ)情報に該当。
「臓器提供意思確認欄」の記載は要配慮個人情報に該当しない。機微(センシティブ)情報にも該当しない。
年金手帳
−
「基礎年金番号」の記載されているページのコピーを取った場合は「基礎年金番号」の記載をマスキングすべき。(「基礎年金番号」は国民年金法で取得制限)
4 機微(センシティブ)情報の規定例
以下のような規定例が考えられます。
「機微(センシティブ)情報」と「要配慮個人情報」の規律は完全に重ならないため、両方の規律について規定する方がよいでしょう。
_
(定義)
第2条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
〇「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項に定める要配慮個人情報をいう。
〇「機微(センシティブ)情報」とは、要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを 除く。)に関する情報(本人、国の機関、地方公共団体、法第76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又 は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)
(適正な取得)
第〇条 当社は、偽りその他不正な手段により個人情報を取得してはならない。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
�@ 法令に基づく場合
�A 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
�D 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
�E 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
�F 法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき。
(機微(センシティブ)情報の取得等の禁止)
第〇条 機微(センシティブ)情報については、次の各号に掲げる場合を除くほか、取得、利用、又は第三者への提供を行ってはならない。�@ 法令等に基づく場合�A 人の生命、身体又は財産の保護のために必要がある場合�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合�D 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者へ提供する場合�E 相続手続きによる権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者へ提供する場合�F 当社が営む業務の適切な業務運営を確保する必要性から、情報主体の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者へ提供する場合�G 機微(センシティブ)情報に該当する生体認証情報を情報主体の同意に基づき、情報主体確認に用いる場合�H 本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの�I 本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの
2 当社は、機微(センシティブ)情報のうち要配慮個人情報に該当するものを取得するに当たっては、第●条第2項に従い、あらかじめ本人の同意を得なければならない。
3_ 当社は、機微(センシティブ)情報を第三者へ提供するに当たっては、第●条第●項(オプトアウト)の規定を適用しないこととする。
*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
_
改正個人情報保護法:一般の事業者には第三者提供に係る確認・記録義務が適用される場面はほとんどない
2017/03/08
【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
渡邉雅之弁護士が金融財務研究会で改正個人情報保護法のセミナーをします。
今回は、本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)の改正においては、第三者提供に係る確認・記録義務が設けられます(法25条・26条)。
もっとも、一般の事業者においては、第三者提供に係る確認・記録義務が適用される場面はほとんどないものと考えられます。
_
第三者提供に係る確認・記録義務はもともと、名簿業者がいい加減なオプトアウトをして個人データを第三者提供していたことに端を発した制度設計です。
一般の事業者が本人の同意を得て個人データを第三者提供をする場合は、ほとんど、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」、「解釈により受領者に確認・記録義務が適用されない場合」に該当し、確認・記録義務は適用されないと考えてよいです。特に、解釈上の例外である「本人に代わって提供する場合」に該当するケースが多いでしょう。
_
ただし、オプトアウト手続により、提供・受領をする場合には、第三者提供に係る確認・記録義務があるのと考えた方がよいです。
事業者においては、改正個人情報保護法の全面施行日(平成29年5月30日)までに、自社において個人データの第三者提供をしている場合を洗い出して、解釈上の例外に該当しないか検討する必要があります。伝え聞いたところによると、ある銀行では、第三者提供に係る確認・記録をする必要がある場合は全くないと整理したとのことです。
以下では、法令・ガイドラインで第三者提供に係る確認・記録義務がないとされている場合について紹介します。
1 法23条1項各号に該当する場合
�@法令に基づく場合
�A人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 法23条5項各号に該当する場合
�@ 個人データの取扱いの委託
�A 合併の事業承継
�B 共同利用
3 個人情報取扱事業者でない個人が提供する場合
*個人情報取扱事業者ではない個人が個人データを提供する場合には、当該個人は記録の作成・保存義務はない。しかし、個人であっても事業者であれば個人情報取扱事業者として第三者提供に係る作成・記録義務を負う。
4 解釈により提供者及び受領者に確認・記録義務が適用されない場合(個人情報保護法ガイドライン(確認記録義務編)2-2-1)
場合
事例
本人による提供と整理できる場合
個人情報取扱事業者がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者及び取得した個人情報取扱事業者の双方において、確認・記録義務は適用されない。
本人に代わって提供する場合
事例1)本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合
事例2)事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
事例3)事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合
事例4)本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
事例5)保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に提供する場合
事例6)取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合
事例7)事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
事例8)本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
本人と一体と評価できる関係にある者に提供する場合
金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合
提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行う場合
振込依頼人の法人が、受取人の個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行の振込先の口座に振り込む場合
不特定多数の者が取得できる公開情報
*特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
ホームページ等で公表されている情報、報道機関により報道されている情報。
*当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない(規則13条1項1号ロ括弧。
*いわゆる公開情報であっても、「個人情報」(法2条1項)に該当するため、法第4章第1節のうち、確認・記録義務以外の規定は適用される。
5 解釈により受領者に確認・記録義務が適用されない場合(個人情報保護法ガイドライン(確認記録義務編)2-2-2)
場合
事例
受領者にとって「個人データ」に該当しない場合
*受領者を基準に判断されるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
*提供を受ける時点において、個人データに該当する場合には、確認・記録義務が適用される。
個人情報取扱事業者の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の個人情報取扱事業者の営業担当者に渡す場合
受領者にとって「個人情報」に該当しない場合
〇提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合
〇提供者で管理しているID番号のみが付された個人データの提供を受けた場合
〇単に閲覧をする行為の場合
〇一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないとき
*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
