設例

あるユーザから次のような問い合わせがあったとしよう。

私は，御社のサービスを利用しています。利用規約を改めて見たところ，規約には「利用者は，当社が取得した個人情報を第三者に提供することにつき，あらかじめ同意します。」と書いてありました。
ところで，改正された個人情報保護法のもとでは，第三者に個人情報*1を提供する場合，記録を残さなければならないとなっていたかと思います。私の個人情報が，いつ，誰に提供されたのか，開示してください。

このような要求をされた場合，果たして事業者は従わなければならないだろうか。

論点

まず，改正法（以下，単純に「法」という。）28条1項では，本人は，個人情報取扱事業者に対し，当該本人が識別される「保有個人データ」の開示を請求することができるとされている。個人情報取扱事業者は，この請求がなされたときは，遅滞なく開示しなければならないのが原則である（同条2項）。そして，この請求に対して応答しなかったり，請求を拒絶したりした場合には，訴訟を提起して開示を求めることができることが明文化された（34条1項）。

そうすると，仮にこの事業者が改正法を遵守して，「第三者提供に係る記録」を作成して保存していた場合，その記録自体が「保有個人データ」に当たれば（【論点１】），原則として開示しなければならないことになる。

仮に保有個人データに該当した場合でも，事業者は28条2項但書各号，特に「業務の適正な実施に著しい支障を及ぼすおそれがある」（2号）には開示を拒絶できる。果たして，第三者提供の相手方やタイミングなどを開示することが，業務の適正な実施に著しい支障を及ぼすといえるか（【論点2】）。

ちなみに，改正法施行前でも，第三者提供の際には本人の同意が必要とされていたが（23条1項），同意を得るに際して，提供先や提供時期までも必要とはされていなかった*2。また，記録義務は課されていなかったから，上記のような請求を受けて，「記録はありません」「提供先をお伝えすることはできません」と回答したとしても特に何の問題もなかっただろう。

【論点１】第三者提供に係る記録の個人データ該当性

開示請求権の対象となる「保有個人データ」の定義は2条7項に定められている。大雑把にいえば，個人情報取扱事業者にとって開示等をおこなうことができる権限を有する個人データをいうので，問題となるのは，第三者提供に係る記録が「個人データ」に該当するかどうかである。

個人データの定義は2条6項に定められている。個人情報データベース等（2条4項に定義されている。）を構成する個人情報をいう。

個人情報の定義は2条1項にある。大雑把にいえば，特定の個人を識別することができる情報である。では，第三者提供に係る記録が，特定の個人を識別できる状態になった情報だろうか。そもそも，トレーサビリティ義務として求められる記録事項にはどんなものがあるのか。この設例では，利用規約で同意を得て提供しているが，その場合の記録事項は以下のとおりである（法25条1項，規則13条1項2号ロ，同項1号）。

• 提供先となる第三者の氏名等
• 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
• 当該個人データの項目
• 本人の同意を得ている旨

なお，オプトアウトによる第三者提供の場合と異なり，同意を得て提供する際には，提供年月日を記録する義務はない。

ここでポイントとなるのは，「当該本人を特定するに足りる事項」（規則13条1項1号ハ）が記録事項に含まれていることである。ガイドライン（確認記録義務編）21頁では，例として，

本人ごとに番号・ID などを付して個人データの管理をしている場合において、当該番号・ID などにより本人を特定できるときの当該番号・ID

が挙げられている。さらには，実際に提供したデータ自体にこうした特定するに足りる事項が含まれていれば，そのデータを保存することを以って記録義務を履行したとされている（同頁）。

これらの記載からすると，まさに本人を特定する情報を記録せよとされていることから，「第三者提供に係る記録」は，そこに含まれる本人特定情報によって，特定の個人を識別できることになり，全体が個人情報，個人データ，保有個人データに該当する可能性が高いと思われる（記録保存義務を考えると，個人データの保管期間による除外（法2条7項，政令5条）によって保有個人データ該当性を否定することは難しいだろう。）。

こうした面から見ても，この確認記録義務は，事業者に過度な負担を強いるものになりかねないなと思う。せめて記録事項として，本人特定事項までは含めず，「過去1か月以内に当サービスを1度以上利用したユーザ」といった方法でも許されるようにしておけばよかったし*3，その程度の記録でも，トレーサビリティを確保するという趣旨に反するものでもないように思う。

保有個人データに該当しないという理屈付けとしては，例えば，第三者提供に係る記録は，単なるログのようなものであって，特定の個人情報を検索することができるように体系的に構成したものではないから，「個人情報データベース等」に当たらず，個人データでもないということが考えられるかもしれない。しかし，たとえテキストファイルだとしても，法令に定める記録事項がわかるようなフォーマットで作成されていれば，体系的に構成したものだと言えそうな気がするので，やや苦しい*4。

【論点２】開示拒絶事由該当性

設例のようなユーザの開示要求に対して，第三者提供に係る記録から，該当する記録を探し出して開示するというのが事業者にとって負担がかかることは間違いない。また，もともと同意の際に第三者提供の提供先を明示する義務がないのに，提供先を開示していたのでは「業務の適正な実施に著しい支障を及ぼす」（28条2項2号）に該当すると言えなくないだろうか。

この拒絶事由については十分な議論の蓄積があるとはいえない*5。ガイドライン（通則編）65頁でも，入試の採点情報とか，同一人からの繰り返しの要求の場合とか，「著しい支障」が明らかと思われる例しか示されていない。

仮に，この理由を以って拒絶した場合，「トレーサビリティの確保という趣旨からすれば，まさに今回のような本人からの請求の際に記録を開示すべきだ。」との反論が来るかもしれない。また，本人が第三者提供停止請求（30条3項）をするためには，まずどんな第三者提供が行われているのかを知る必要があり，第三者提供の記録を知らせるという必要性も一定程度ありそうである。しかし，25条，26条の確認記録義務は，直接的に本人を保護することを目的とした規定ではない（法の究極目的が本人保護にあるとしても。）。確認記録義務の履行だけでも大変な上に，本人からの請求に応じて，記録の該当部分の開示請求に対応できるようにしておかなければならないとなれば，まさにそれこそ「著しい支障」が生じるとも言えそうである（ただ，開示請求に対して実費請求をすることは否定されていないので（法33条），手間がかかるというだけでは説得力に欠ける気もする。）。

確認記録義務の設計の際には，記録が保有個人データになり得て，それが開示等請求の対象になるやもしれないということについて議論がされていたのだろうか。。