改正個人情報保護法詳解 - 改正個人情報保護法における情報提供等記録の作成・保存義務：企業の実務対応と法務上の留意点

改正個人情報保護法における情報提供等記録の作成・保存義務：企業の実務対応と法務上の留意点

Tags: 個人情報保護法, 情報提供等記録, 第三者提供, コンプライアンス, データガバナンス

はじめに

2020年改正個人情報保護法（以下「改正法」といいます。）は、個人情報の適正な取り扱いに関する企業の責務を一層強化するものであり、その中でも特に、個人データの第三者提供に関する「情報提供等記録の作成・保存義務」は、企業の実務に直接的な影響を与える重要な改正点の一つです。この義務は、個人情報がどのような経緯で第三者に提供・受領されたかを明確にし、透明性とトレーサビリティを確保することを目的としています。

本稿では、企業法務部員の皆様がこの義務を正確に理解し、実務において適切に対応できるよう、改正法の条文内容から関連する政令・規則、監督当局が公表するガイドラインに至るまでを詳細に解説いたします。また、企業が具体的にどのような体制を構築し、どのような点に留意すべきかについて、実践的な視点から考察を進めます。

情報提供等記録の作成・保存義務の法的根拠と対象

情報提供等記録の作成・保存義務は、個人情報保護法第29条（第三者提供に関する記録の作成等）および第30条（第三者提供を受ける際の確認等）に定められています。これらの規定は、個人情報取扱事業者が個人データを第三者に提供する場合と、第三者から個人データの提供を受ける場合の双方に、特定の記録の作成・保存を義務付けています。

1. 個人データを提供する場合の記録義務（法第29条）

個人情報取扱事業者は、個人データを第三者（国の機関、地方公共団体、独立行政法人等、個人情報保護法第16条第3項各号に定める委託、事業承継、共同利用の場合を除く）に提供したときは、原則として、以下の事項に関する記録を作成しなければなりません。

第三者に提供した年月日：実際に個人データを提供した日付を記録します。
当該第三者の氏名または名称：個人データの提供先の企業名、部署名、担当者名などを特定できるように記録します。
当該個人データによって識別される本人の氏名その他の当該本人を特定するために必要な事項：提供した個人データに含まれる本人の氏名や会員IDなど、本人を特定できる情報を記録します。
当該個人データの項目：氏名、住所、生年月日など、提供した個人データの具体的な項目を記録します。
当該本人の同意を得ている旨：本人の同意を得て提供する場合、その旨を記録します。同意の取得方法（書面、ウェブ上のチェックボックス等）についても補足的に記録することが望ましいでしょう。

この記録は、提供した日から個人情報保護委員会規則で定める期間（原則3年間、ただし記録が個人情報データベース等を構成する個人情報である場合等にはより長期間）保存することが義務付けられています。

2. 個人データの提供を受ける場合の記録義務（法第30条）

個人情報取扱事業者は、第三者から個人データの提供を受ける場合、原則として、以下の事項を確認し、その記録を作成しなければなりません。

当該提供者の氏名または名称および住所：提供元の企業名、部署名、担当者名、住所などを特定できるように記録します。
当該個人データが取得された経緯：提供元が個人データをどのような方法で取得したのか（例：本人からの直接取得、他の第三者からの取得など）を確認し、その経緯を記録します。
当該個人データの項目：受領した個人データの具体的な項目を記録します。

提供を受けた個人データが「個人情報保護法第2条第7項に定める個人関連情報」である場合で、提供元が当該個人関連情報を第三者提供することについて本人の同意を得ている場合など、特定の場合には確認・記録義務が免除されることがあります。しかし、原則として記録作成・保存義務があるため、慎重な判断が必要です。

この記録も、提供を受けた日から個人情報保護委員会規則で定める期間（原則3年間、ただし記録が個人情報データベース等を構成する個人情報である場合等にはより長期間）保存することが義務付けられています。

企業の実務における影響と対応

情報提供等記録の作成・保存義務は、企業の個人データ管理体制に大きな変更を求めるものです。特に、以下の点について実務上の対応が求められます。

1. 記録管理体制の構築

記録媒体の選定とシステム化: 紙ベースでの記録は、膨大な量になる可能性があり、検索性や保全性の観点から非効率的です。データベースや専用のシステムを導入し、提供・受領の都度、必要事項を正確に記録できる体制を構築することが推奨されます。既存の顧客情報管理システム（CRM）や営業支援システム（SFA）との連携も検討すべきでしょう。
責任者の明確化と担当者の教育: 記録作成・保存の責任部署および責任者を明確にし、実際に記録業務を行う担当者に対して、義務の内容、記録すべき事項、記録の正確性確保の重要性などを徹底的に教育することが不可欠です。
記録プロセス・手順の確立: 誰が、いつ、何を、どのように記録するのかといった具体的な業務プロセス・手順を標準化し、マニュアル化することで、記録の抜け漏れや誤りを防ぎます。

2. 契約書・覚書の見直し

個人データの第三者提供を行う、または受ける契約を締結する際には、情報提供等記録義務に関する条項を盛り込むことが重要です。特に、提供を受ける側としては、提供元が個人データを取得した経緯を確認できるような情報提供を求める条項を盛り込む必要があります。

3. 提供先・受領先との連携強化

スムーズな記録作成のためには、提供先・受領先との緊密な連携が不可欠です。例えば、提供を受ける際に、提供元が個人データの取得経緯に関する情報を提供する協力体制を構築することが望まれます。これは、特に複雑なサプライチェーンを持つ事業者にとって重要な課題です。

4. 記録の保存期間の管理

原則3年間とされている保存期間は、個別の取引やデータの性質によっては延長される可能性があります。例えば、提供した個人データが個人情報データベース等を構成する情報である場合、または個人情報保護委員会規則で定めるより長期間の保存が必要な場合には、それに応じた期間管理が必要です。不要になった記録の確実な廃棄方法も確立しておく必要があります。

法務上の留意点と課題

この義務への対応は、単なる事務作業に留まらず、法務上の重要な検討事項を伴います。

1. 記録の正確性と適法性の確保

作成された記録は、万一、個人情報保護委員会による検査や指導が入った場合に、企業のコンプライアンス状況を示す重要な証拠となります。記録内容が不正確であったり、義務を履行していないと判断されたりした場合、行政処分や企業としての信頼失墜に繋がりかねません。常に記録の正確性を確保し、法規定に則った運用を行う必要があります。

2. 個人情報保護委員会規則およびガイドラインの確認

情報提供等記録に関する具体的な運用ルールは、個人情報保護委員会規則（個人情報保護法施行規則）や個人情報保護委員会の公表する「個人情報の保護に関する法律についてのガイドライン（通則編）」、「Q&A」に詳細が規定されています。これらの最新情報を常に確認し、自社の運用に反映させることが不可欠です。特にQ&Aには、実務で生じる具体的な疑問に対する回答が多く含まれています。

3. グループ会社間の取り扱い

グループ会社間で個人データをやり取りする場合、それが「第三者提供」に該当するかどうかは、共同利用の適用有無や、グループ会社が別法人であるか否かによって判断が分かれます。第三者提供に該当する場合は、当然に情報提供等記録義務の対象となります。グループ全体での個人データ管理ポリシーを策定し、統一した記録体制を構築することが望ましいでしょう。

4. 海外事業者への提供・受領の場合

外国にある第三者への個人データの提供、または外国にある第三者からの個人データの受領についても、原則として情報提供等記録義務の対象となります。海外の法制度や実務慣行も考慮し、より慎重な対応が求められます。特に、外国の個人情報保護制度を事前に確認し、適切な措置を講じることが重要です。

まとめ

改正個人情報保護法における情報提供等記録の作成・保存義務は、企業の個人データ管理の透明性とトレーサビリティを向上させるための重要な制度です。この義務を適切に履行することは、法的リスクを回避し、顧客からの信頼を獲得する上で不可欠であると同時に、企業のコンプライアンス体制の質を高める機会でもあります。

企業法務部員の皆様には、本稿で解説した法的根拠、記録内容、実務上の対応策、そして法務上の留意点を踏まえ、自社の事業活動における個人データの第三者提供・受領の実態を再点検し、必要な体制の構築・運用に積極的に取り組んでいただくことを推奨いたします。常に最新の法令、規則、ガイドラインにアクセスし、必要に応じて専門家の助言を得ながら、継続的な改善を図ることが、持続可能な個人情報保護体制を確立する鍵となるでしょう。