個人情報保護委員会の「「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に関する意見募集」に対し、JILIS個人情報保護法研究TF企業データベース事業WGの活動(「個人情報保護法令和2年改正に伴う企業データベース事業への影響に関する検討(提言に向けた中間整理)」(2021年1月15日)参照)として、以下の意見を提出しました。
【PDF版】
2021年1月22日
一般財団法人情報法制研究所 個人情報保護法研究TF企業データベース事業WG
(該当箇所:改正後施行令(案)9条)
「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」 は、2-2節において「解釈により確認・記録義務が適用されない第三者提供」の例をいくつか挙げており、その一方で、「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」では、Q10-26で、「個人データを提供先にデータ伝送している場合、伝送日時、伝送先などのログを記録とすることはできますか。」との設問に「ログを記録とすることは認められます」との回答があることから、システムが自動的に残すアクセスログ等の記録も「第三者提供記録」となり得ることを意味している。そのため、「解釈により確認・記録義務が適用されない第三者提供」について、当該個人データの本人から改正後第28条第5項に基づく「第三者提供記録」の開示請求があった場合に、たまたまシステムが自動的に残すアクセスログ等の記録が存在している限りはそれを開示しなければならないこととなるのかが、改正後法第28条第5項及び改正後施行令9条の規定からでは必ずしも明らかでない。
この点については、改正後法第28条第5項により準用されるべき「第三者提供記録」は法第25条第1項又は第26条第3項の義務により作成されたものを指しているのであって、義務によらないで作成されているものはこれに該当せず、請求があっても不存在として開示しない旨の決定をすることができると考えるが、このような解釈でよいか確認したい。
以上