<ポイント>
◆本人同意やその確認方法についてはガイドラインあり
◆提供元、提供先とも一定事項の確認やその記録が必要
前回説明しましたように、提供先が個人関連情報を個人データとして取得することが想定されるときには、提供元は本人の同意など一定事項を予め確認しなければこれを第三者提供できません。
本人同意を取得するべき主体、同意や確認の方法については、本年8月に改訂された「個人情報の保護に関する法律についてのガイドライン(通則編)」に説明があります。
今回はその概要を紹介します。
1.本人同意を取得すべき主体
本人同意を取得すべき「主体」は提供先です。情報を利用する提供先が本人から同意を得るべきであり、これにより本人としても「誰かその情報を利用するのか」を認識できる、という考え方が背景にあります。
そのうえでガイドラインは提供元が本人同意の取得を「代行」することを認めていますが、その場合は、提供先が誰か、どの範囲の個人関連情報が提供先へ提供されるのかを示したうえで本人から同意を得る必要があります。
なお、提供先が個人関連情報を個人データとしてどのような目的のために利用するのかについては、個人データに関する一般的なルールに従い、提供先が本人への通知や公表をしなければいけません。
2.本人同意の方法
ガイドラインは、本人同意の方法として書面や電子メールでの意思表示のほか、ウェブサイトの画面上で同意ボタンをクリックしてもらう方法を挙げており、これらは例示と解されます。
注意点としては、明示的あるいは積極的に本人から同意の意思表示をとりつけるべきことです。個人関連情報の取扱いについて画面に表示するだけであったり、「同意しない場合」にボタンのクリックを求めるといった方法では、本人の同意ありとはいえません。
3.「提供元」における確認
提供元は、本人が同意していることを予め確認しなければ、個人関連情報を第三者提供することができません。この確認は、提供先から申告を受けることその他適切な方法により行うべきとされています(改正後の個人情報保護法施行規則18条の2)。
提供先からの申告により確認を行う場合、提供元は申告内容を一般的な注意力をもって確認すれば足ります。一律的な調査義務までは課されていませんが、提供先の申告内容に疑問がある場合には提供先に問い合わせるなどの対応が必要だと考えられます。
提供元が提供先に代わって本人の同意を取得している場合は、提供元は自社内で本人の同意を確認すれば足ります。
こうした確認について、提供元は記録を作成しなければいけません。
4.「提供先」における確認
提供先は、個人関連情報を個人データとして取得する場合も、第三者提供により個人データを取得する場合の一般的な規制に従う必要があり、第三者提供による取得につき記録の作成、保存が必要です。
