Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(18)第三者提供にかかる記録義務

現在,参院審議中の個人情報保護法改正案には,現行法にはない新しい義務として,「第三者提供記録義務」がある。


これは,平成26年6月の大綱が公表される前のパーソナルデータ検討会ではあまり検討されていなかったものである。なぜなら,大綱が公表された直後に発覚したベネッセ事件の影響により,新たな規制として追加されたものだからだ。


ところが,この「第三者提供にかかる記録義務」については,十分な検討がなされていないためか,いろいろと問題点が指摘されている。


まずは条文(案)を見てみる。

(第三者提供に係る記録の作成等)
第二十五条 個人情報取扱事業者は、個人データを第三者(略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。

個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

つまり,事業者(個人情報取扱事業者)が,個人データを第三者に提供する際には,一定事項を記録し,保存しなければならないことになる。これにより,例えば,名簿屋にデータを販売した事実等が記録され,トレーサビリティが確保されることが期待される。


この点については,すでに問題点が指摘されている。


崎村夏彦氏ブログ @_Nat Zone
個人情報保護法改正】第三者提供記録義務について【Part 2】
http://www.sakimura.org/2015/04/2965/


高木浩光氏 報告資料
審議中個人情報保護法案に残された課題と今後の展望(第2回情報法制研究会シンポジウム 2015/06/28)
http://www.dekyo.or.jp/kenkyukai/data/2nd/20150628_doc2.pdf
(上記のスライド3から10が本論点について書いた部分)


これまであまり大きな騒ぎになっていないが,過剰規制になることが危惧される。つまり,上記のような名簿流通に対する規制だったはずが,現在の案では,通常の第三者提供の場合にも記録・保存義務が生じてしまうことになり,事業者には面倒な対応が求められるからだ。


問題点の詳細については,上記のリンク先を見ていただくとして,概要は次のようなとおり。

本人の同意がある場合でも義務が生じること

条文上は,23条1項に基づく同意がある場合に除外規定がないので,あらかじめ利用規約等で同意を得た場合であっても,第三者に提供する場合には義務が生じてしまう。


これについては,オプトアウトによる提供(23条2項)の場合だけでも十分ではないかという指摘があるし,もともとの立法経緯に照らせばそうすべきだろう。

1レコード単位の提供でも義務が生じること

義務が生じるのは「個人情報データベース等」の提供ではなく,「個人データ」の提供の場合である。つまり,1レコードの提供であっても義務が生じる。


これも,もともと名簿屋対策だったことを考えれば,まとまりあるデータベース単位のときだけ規制がかかればよいはず。しかし,立法担当者は,1レコードから規制をかけないと,脱法的行為が生じると考えて,「個人データ」を規制対象とした。


さらには,受領側は「個人データ」を受け取ったとしても,それを自らの個人情報データベース等にしなければ,ただの散在情報である。にもかかわらず,受領側にも新26条の義務が生じてしまう。


上記の2つの問題点を併せると,「八百屋魚屋問題」となる*1。八百屋が,隣の魚屋から,客の連絡先を聞かれ,本人同意の上で電話番号を知らせるようなケースまでも記録義務が生じてしまうことになる。


まさに「羹に懲りてなますを吹く」のような規制になってしまいそうだ。この点についての産業界の反応は,意外にも「問題ないと考えている」と,つれない返事のようだ*2


仮に,これらの点をクリアするとしても,今回の第三者提供の記録義務については,一定の海外事業者に提供する際には,委託スキームであっても義務が発生するという建付けになっており*3,事業者が考えるべきことが多いのに・・・


妙な規制ができるのも問題だし,現実に運用不可能な規制となると,結局,行政庁が特定の事業者を狙い撃ちにするための好餌を与えることにもなって危険である。

*1:高木浩光氏スライドの7

*2:前掲高木氏スライドの3

*3:少しわかりにくいが,新25条1項但書のカッコ内「前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか」がポイント。詳細説明は割愛。