本日は、事業者が守るべき5つのルールの第3のルール「他人に渡す場合」のルールです。
1.個人情報を第三者に提供する時は、原則として本人の同意が必要。
例外:①法令に基づく場合
②人の生命、身体又は財産の保護のため(かつ本人の同意を得ることが困難)
③公衆衛生・児童の健全な育成のため(かつ本人の同意を得ることが困難)
④国や地方公共団体等への協力
2.本人の同意を得ない場合には、以下(1)~(3)の手続をする(いわゆるオプトアウト手 続)。
ただし、要配慮個人情報については、この手続による提供は禁止。
(1)本人の求めに応じて、その本人のデータの提供を停止することとする。
(2)以下の①~⑤をHPに掲載するなど、本人が容易に知ることができる状態にしておく。
①第三者提供を利用目的としていること、②提供される個人データの項目、③提供の方 法、④本人の求めに応じて提供を停止すること、⑤本人の求めを受け付ける方法
(3)本人に通知した事項を個人情報保護委員会に届け出る(個人情報保護委員会はこれを公表する。)。
3.業務の委託、事業の承継、共同利用は、第三者提供には当たらない。
4.第三者へ提供した時は、受領者の氏名等を記録し、一定期間保存する。
5.第三者から個人データを受け取るときは、提供者の氏名等、取得経緯を確認し、受領年月日、確認した事項等を記録し、一定期間保存する。(注)
(注)第三者提供時の確認・記録義務とは
記録義務に関する委員会規則の内容 本規定は名簿屋対策が目的のため、一般的なビジネスの実態に配慮して次のとおり整理する。
◯記録事項として、第三者提供について本人同意がある場合は、提供年月日の 記録は不要とする。
◯記録の保存期間については、原則3年とするが、本人に対する物品等の提供に 関連して本人同意のもとで第三者提供した場合は1年とする。
◯本人との契約等に基づく提供については、既存の契約書等で代替可能とする。
◯反復継続して提供する場合は包括的な記録で足りることとする。
ガイドラインでは、一般的なビジネスの実態に配慮して、次のようなケースでは確認・記録 義務がかからないと整理
・本人による提供と整理できるケース(例:SNS上の個人のプロフィール)
・本人に代わって提供と整理できるケース(例:銀行振込)
・本人側への提供と整理できるケース(例:同席している家族)
・「個人データ」に該当しないと整理できるケース(例:名刺1枚) 等
社会保険労務士事務所「KKパートナーズ」は、マイナンバー対応や改正個人情報対応のコンサルを行っています。
何なりとご相談ください。(マイナンバー・改正個人情報保護法の最新ニュースは、専用サイト「マイナンバーコンサルドットコム」をご覧ください。)