1.個人データの第三者提供と法による規律
個人情報保護法は、個人情報取扱事業者が行う個人情報の一連の取り扱いを場面ごとに規律する。そして、個人データの取り扱い主体の変更が生じる第三者提供という行為について、一定の要件を設ける。個人情報の流通に関しては、規律としては利用目的の特定(法15条1項)と本人同意取得(法23条1項)が設けられている程度であった(もちろん、これらの適切な取り扱いを行うために時間・費用等のコストが重くのしかかることは否定できない)。
改正では、個人情報の流通に関し、(1)オプトアウト手続の加重(法23条2項から4項)され、(2)トレーサビリティ義務(法25条、26条)が新設された。施行規則・ガイドラインまで含めると、個人情報保護委員会が特に名簿事業者を意識していることがわかる。
2.オプトアウト手続の加重
オプトアウト手続は、第三者提供について、提供しようとする個人データの内容や提供方法等を本人に通知または容易に知り得る状態とし、本人がこれを停止したい場合にオプトアウトを求められるようにすることで、あらかじめの同意に代えようとするものである。しかし、名簿事業者を念頭に、本人と売買やサービス提供等直接の関係にない者によるオプトアウト手続の利用は、本人不知の間に個人データが流通しかねないとの指摘があった。
このため、本人がオプトアウトを求められる環境を整えるとして、(1)個人情報保護委員会へのオプトアウト手続についての届出(法23条2項から4項まで)、(2)通知・容易に知り得る状態について、本人が「確実に認識できる適切かつ合理的な方法」によること(施行規則7条)等手続の詳細化・厳格化が図られた。(2)によって、漫然と自社サイト上にオプトアウト手続に関する情報を掲載することは認められないため、名簿事業者は、オプトアウト手続を利用し難くなったといえる。名簿事業者ではない者にも同様の義務は課せられるが、例えば、会員登録・会員サイトを設けている場合、会員の個人ページにオプトアウトの情報を掲載すること等の方法が認められよう。
3.トレーサビリティ義務
トレーサビリティ義務(提供者の記録作成、受領者の確認・記録作成)は、1つの個人データについて、1回の提供ごとに記録作成等することが基本である。そのためアドホックな取引であれば特段問題ないものの、事業に伴う個人データの恒常的なやりとりにおいては相当な負担となる。しかし、後者も法律上は対象から当然に除かれていないため、国会審議では過度の負担とならないよう配慮する旨の附帯決議がなされた。
個人情報保護委員会は、トレーサビリティの確保が求められる趣旨に鑑みたとして、法律上の例外に該当せずとも、一定の場合にはトレーサビリティ義務を不要とするとした。具体的には、本人の提供(委託等を含む)および公開情報の提供(初めに公開する行為は除かれない)等については、提供者・受領者ともに記録の作成等は不要である。また、受領者は受け取ったデータが自身にとって個人情報または個人データではない場合等について確認・記録が不要とされる。
これらに当たらなければトレーサビリティ義務の履行が求められ、図表のとおり提供区分に応じた項目について、原則として提供がある都度・速やかに記録作成をしなければならない。ただし、継続・反復した提供については、複数回の提供を一括して記録作成することが認められる。また、本人への物品・サービス提供に関する契約書その他の書類に前述の項目が記されている場合は記録の代替とできる。契約書等による場合のみ保存期間は1年とされ、その他の記録は3年間の保存が求められる。
名簿事業者のために問題視されたオプトアウト手続については、記録事項が本人同意による場合に比して加重され、また、原則である都度・速やかな記録作成が求められており、厳重に規律されているといえよう。
トレーサビリティ義務は複雑かつ細かな規律となっており、本紙面では一部を解説するにとどまる。全面施行に向け各社が初めに行うことは、法令違反とならないために、自社の第三者提供の有無、その態様の洗い出しと、施行規則12条から18条とガイドライン(確認記録義務編)を確認、対照して記録作成等の要否を判断し、同規則のいずれの方法によるか等の対応を定めることである。全面施行まで5カ月を切ったいま、速やかな対応が求められる。