【個人情報保護】法改正にどう対応するか(5)

個人データの第三者提供が厳格化されました

 今回,個人情報保護法の初めての改正法が平成27年9月に成立し,平成29年5月30日に施行されました。
 中小事業者にとって重要な改正がされていますので,適切に対応することが必要です。
 今回は,個人データの第三者提供が厳格化されたことについて説明します。

オプトアウトによる第三者提供の届出と公表

 個人データを第三者に提供するにあたっては,あらかじめ本人の同意を得るのが原則です(法23条1項)。
 ただし,第三者に提供することを利用目的として取得した個人データについては,オプトアウトによる拒否ができることを表明すれば,本人の同意を得ることなく第三者に個人データを提供できることになっていました。
 しかし,オプトアウトが十分に機能していないとの認識から,オプトアウトの方法が厳格化されました。まず,オプトアウトにより個人データを第三者へ提供しようとする場合は,個人情報保護委員会へ届出なければなりません(法23条2項)。届出があれば,個人情報保護委員会は,これを公表することになっています(同条4項)。
 なお,要配慮個人情報がオプトアウトの方法で第三者提供できないことは,すでに説明のとおりです。

提供記録の作成義務

 個人データを第三者提供したときは,原則としてその記録を作成しなければなりません(法25条1項)。そしてこれを,個人情報保護委員会規則で定める期間(場合により記録作成から3年,個人データ提供から3年又は1年)保存しなければなりません(同条2項)。
 また,第三者提供を受ける側も,渡す側による個人データ取得の経緯を確認し(法26条1項),記録を作成して保存しなければならないこととされていますが(同条3項4項),渡す側は,この経緯について真実に基づく説明をしなければなりません(同条2項)。

グローバル化への対応

 外国へ個人データが提供されることも少なくありません。しかし,国によっても保護のレベルがまちまちです。
 そこで,その国が日本と同程度の個人情報保護制度を有しているかどうか,提供先が基準に適合する体制を整備しているかどうかを個人情報保護委員会が認定し,いずれも認められない場合には,本人の同意を得なければ第三者提供をすることができません(法24条)。
 また,日本国内への物やサービスの提供に関連して個人情報を取得した物が,外国においてその個人情報を取扱うに際しては,日本の個人情報保護法の適用が及ぶことも明示されました(法75条)。

データベース提供罪の新設

 これまで個人情報の不正な使用に対して直接の刑事罰は設けられていませんでした。情報自体は「物」でないため窃盗罪は成立せず,営業秘密に当たらない場合は不正競争防止法の適用もありません。
 今回の改正で,個人情報取扱事業者またはその従業員が,業務で取扱った個人情報データベース等を自己または第三者の不正な利益を図る目的で提供・盗用したときは,1年以下の懲役または50万円以下の罰金に処せられることになりました(法83条)。