個人情報を第三者に提供する場合には、本人の同意を得ることが原則となります。アクセスする場合も類似していますが第三者提供を行う場合には、直接書面取得時の明示事項と取得方法を通知し本人の同意を得る必要があります。
第三者提供は、提供先で別途の目的をもって利用されますので明示事項にはその利用目的も含まれているわけです。
従業員の情報を生命保険会社に提供する場合などは第三者提供になるわけです。
この場合には本人(従業者)の一定事項明示と同意が改めて必要となることになります。
ポイント
- 第三者提供を行う場合「申請書」を用い対応する。(承認者は「保護管理者」)
- 最初から第三者提供を行う旨で取得利用している場合は除く
- 第三者提供項目の管理は「管理台帳」ベースで全体は管理する。
- 但し書きc)d)f)は、該当しないため「当社において現状を含む近い将来に渡り、発生の見込みもなく、取扱いは行わない」と記述し手順は定めない運用とする。
- 本人に連絡又は接触する場合も同じ、特殊案件となる但し書きに該当しない項目は、除外し取扱わないとするか「発生時に手順を定める」という表現を規定に記述する。
※利用(目的外利用)や本人に連絡又は接触・提供について、分類した個人情報群が全て該当する場合と、その内の数件の一部となる場合とを想定した規定作りも必要かと思われます。
- 基本的な業務を行う場合に、都度、申請書などの発生は望ましくないと思います。全体的に取扱いルールは定め例外案件は申請対応とし、効率的に運用するべきです。
A.3.4.2.8.1 外国にある第三者への提供に関する措置
外国にある第三者に個人データを提供する場合にもあらかじめ本人の同意を得る必要があります。
ポイント
- 日本に所在する事業者(外資系企業含む)が外国に所在する事業者に個人データを提供する場合は外国への第三者への提供に該当する。
- 日本の法人格を有する当該事業者の外国支店等は第三者には該当しない。
A.3.4.2.8.2 第三者提供に係る記録の作成など
個人データを個人データを第三者に提供したときは法令の定めに基づいて記録を作成し、保管する必要があります。
ポイント
- 記録の作成に当たっては、個人データの第三者提供に関する契約書その他の書面をもって記録することもできる。
- 記録は書面だけではなく、電子データでもよい。
- 記録を作成しないで、年月日や提供の相手方や等の記録すべき事項がログ、IPアドレスなどの一定の情報を分析することによって明らかになる場合はその状態を保存することでよい。
- 作成された記録には代表者の氏名等の個人情報が含まれることがあり、記録が「保有個人データ」に該当する場合には、開示請求の対象にすることが望ましいことに留意する必要がある。
A.3.4.2.8.3 第三者提供を受ける際の確認など
第三者から個人データの提供を受ける場合には、法令の定めに基づいて確認し、その確認の記録を作成し、保管する必要があります。
ポイント
- 作成された記録には代表者の氏名等の個人情報が含まれることがあり、記録が「保有個人データ」に該当する場合には、開示請求の対象にすることが望ましいことに留意する必要がある。