報告書・提言・意見

「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に対する意見

PDF版

2021年1月22日
一般財団法人情報法制研究所 個人情報保護法研究TF企業データベース事業WG

意見: 改正後施行令9条各号は、改正後法第28条第5項により同条第1項から第3項までの規定が準用されるべき「第三者提供記録」に該当しない場合を定めるものであるが、これら各号が挙げるものの他にも、準用されるべき「第三者提供記録」に該当しない場合として、法第25条第1項又は第26条第3項の義務によらないで作成された記録もそれに当たると考えるが、そのような解釈でよいか確認したい。

(該当箇所:改正後施行令(案)9条)

理由

「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」 は、2-2節において「解釈により確認・記録義務が適用されない第三者提供」の例をいくつか挙げており、その一方で、「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」では、Q10-26で、「個人データを提供先にデータ伝送している場合、伝送日時、伝送先などのログを記録とすることはできますか。」との設問に「ログを記録とすることは認められます」との回答があることから、システムが自動的に残すアクセスログ等の記録も「第三者提供記録」となり得ることを意味している。そのため、「解釈により確認・記録義務が適用されない第三者提供」について、当該個人データの本人から改正後第28条第5項に基づく「第三者提供記録」の開示請求があった場合に、たまたまシステムが自動的に残すアクセスログ等の記録が存在している限りはそれを開示しなければならないこととなるのかが、改正後法第28条第5項及び改正後施行令9条の規定からでは必ずしも明らかでない。

この点については、改正後法第28条第5項により準用されるべき「第三者提供記録」は法第25条第1項又は第26条第3項の義務により作成されたものを指しているのであって、義務によらないで作成されているものはこれに該当せず、請求があっても不存在として開示しない旨の決定をすることができると考えるが、このような解釈でよいか確認したい。

以上