改正個人情報保護法が、平成29年5月30日より全面施行されます。
改正前の個人情報保護法では、5,000件を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした。
しかし、改正個人情報保護法では、保有している個人情報が5,000件以下の事業者であっても、適用の対象になります。
これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。
以下では、改正事項のひとつである「トレーサビリティの確保」について、ご説明します。
トレーサビリティの確保
改正法では、個人データの第三者提供をする場合、第三者提供を受ける場合の手続きを規定しています。
受領者は提供者の氏名やデータの取得経緯等を確認、記録し、一定期間その内容を保存します。
また、提供者も、受領者の氏名等を記録し、一定期間保存します。
第三者提供をする場合
従前は、企業が個人データを第三者に提供する場合には、その提供の記録の作成は義務付けられておりませんでしたが、改正法ではこれを作成すべきことになりました。
個人情報取扱事業者は、個人データを第三者に提供したときは、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成し、これを一定期間保存しなければなりません。
記録しなければならない事項は、以下のとおりです。
オプトアウト手続により個人データを第三者に提供した場合
- 当該個人データを提供した年月日
- 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目(具体例:住所、氏名、電話番号、購入履歴等提供をされる個人データの種類)
個人データを本人の同意を得て第三者に提供した場合
- 本人の同意を得ている旨
- 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目(具体例:住所、氏名、電話番号、購入履歴等提供をされる個人データの種類)
※本人の同意がある場合は、当該個人データを提供した年月日の記録が省略されます。
記録の作成方法
記録の方法は、文書、電磁的記録又はマイクロフィルムとされています。
保存期間
保存期間は、一括記録の方法がとられる場合や、個人データを含む書類の保管により代替する場合を除き、作成した日から3年間とされています。
改正個人情報保護法で知っておきたいことはこちら!
・改正個人情報保護法「個人情報の定義」が明確化。企業に求められる対応は?
・改正個人情報保護法「小規模事業者も対象に」5,000件要件の撤廃
