このとき外国の第三者が(1)の「日本と同等の水準で個人情報が保護されていると認められた国」であれば問題ないが、該当国であるかどうかは今後、個人情報保護委員会規則による決定を待たなければならない。
米国やEU加盟国などは認められる可能性が高いと予想されるが、それ以外の国については事前に確認したほうが良いだろう。また、第三者の企業としての所在地が該当国であったとしても、実際に情報を取り扱うデータセンターが別の国である場合は、(2)の「日本の個人情報取扱事業者と同じような個人情報保護の体制を整備している」に該当するかどうかも含めて検討したほうがよい。
(2)に該当するためには、日本側で定める基準に基づいた体制と運用を担うことを契約で担保する必要があると考えられるが、その際には安全管理措置(情報セキュリティ)だけでなく、次に取り上げる「第三者提供の際の記録と確認」(トレーサビリティ)など他の措置についても海外側に対応してもらう必要がある。
国外・域外への個人情報の持ち出しを禁じている法律は「EUデータ保護指令」という、EUや英国で十分なパーソナルデータ保護のレベルに達していないとする国へのデータの移動を禁止する法律が有名だが、アジア各国にも同様の法制度が増えつつある。日本と同等の水準と認定される国が多ければ、実務に対する影響は限定的となるが、いずれにしても国境を越えた個人情報の移送には今後注意していかなければならない。
第三者提供の際の記録と確認
次に取り上げたい2つ目の変化は「第三者提供の際の記録と確認」(トレーサビリティ)である。改正案の新25条では個人情報を第三者へ提供する際、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない、としている。また一定の期間、記録を保存しなければならない。
さらに新26条では、個人情報の第三者提供を受けた場合は、当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名、及び当該第三者による当該個人データの取得の経緯を確認しなければならないとしている。
改正案条文
(第三者提供に係る記録の作成等) 第二十五条 1 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条 第一項各号のいずれか)に該当する場合は、この限りでない。 2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。(第三者提供を受ける際の確認等) 第二十六条 1 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。 一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名 二 当該第三者による当該個人データの取得の経緯 2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない 3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で 定める事項に関する記録を作成しなければならない 4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。(お詫びと訂正:内容面の問題のため3、4は9月15日に追記しました)
この新たな条文は、いわゆる「名簿屋」問題に対応するためのものと考えられるが、実務的には次のような影響を想定しておく必要がある。