改正個人情報保護法が、平成29年5月30日より全面施行されます。
改正前の個人情報保護法では、5,000件を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした。
しかし、改正個人情報保護法では、保有している個人情報が5,000件以下の事業者であっても、適用の対象になります。
これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。
以下では、改正事項のひとつである「トレーサビリティの確保」について、ご説明します。
トレーサビリティの確保
改正法では、個人データの第三者提供をする場合、第三者提供を受ける場合の手続きを規定しています。
受領者は提供者の氏名やデータの取得経緯等を確認、記録し、一定期間その内容を保存します。
また、提供者も、受領者の氏名等を記録し、一定期間保存します。
第三者提供を受ける場合
改正法では、個人データを第三者に提供する場合のみならず、第三者から個人データの提供を受ける場合にも確認・記録する新たな義務が新設されました。
確認
第三者から個人データの提供を受ける場合には、提供者に関する以下の情報を確認する必要があります。
- 氏名又は名称(法人の場合は代表者の氏名)
- 住所
- 個人データの取得の経緯
記録
個人データを第三者に提供する場合と同様、個人データを受領した場合も記録を作成する必要があります。
記録しなければならないのは、以下の事項です。
個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合
- 当該第三者の氏名又は名称
- 当該第三者の住所
- 当該第三者の代表者名(当該第三者が法人である場合)
- 当該第三者による取得の経緯
- 個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
- 本人の同意がある旨
私人(個人情報取扱事業者以外の者)から個人データの提供を受ける場合
- 当該第三者の氏名又は名称
- 当該第三者の住所
- 当該第三者の代表者名(当該第三者が法人である場合)
- 当該第三者による取得の経緯
- 個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
オプトアウト手続きに基づいて個人データの提供を受ける場合
- 当該第三者の氏名又は名称
- 当該第三者の住所
- 当該第三者の代表者名(当該第三者が法人である場合)
- 当該第三者による取得の経緯
- 個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人データの項目
- 個人データの提供を受けた年月日
- 個人情報保護委員会からオプトアウト手続きの届出が公表されている旨
改正個人情報保護法で知っておきたいことはこちら!
・改正個人情報保護法「個人情報の定義」が明確化。企業に求められる対応は?
・改正個人情報保護法「小規模事業者も対象に」5,000件要件の撤廃
