2. 第三者提供の記録義務がかかる範囲が適切に設定されていない件
これとは別に、直さないとマズイんじゃないかなという点がもう一つあります。第三者提供における義務規定の部分です。いわゆる名簿屋を縛るために入れたところなんだと思うんですが、これも同様に対象に制限がかかるべきところがうまくかかっていない。
第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供した時は、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければんらない。ただし、当該個人データの提供が第二十三条第一項各号又は第五号各号のいずれか(前条の規定による個人データの提供にあたっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りではない。
2 個人情報と売り扱い事業者は、前号の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
個人データを第三者に提供する場合は、提供年月日、提供先に関する事項を記録しなければならないというわけですな。ただし、例外があります。「例外に期待!」というわけで見てみると
第二条
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。一 国の機関二 地方公共団体三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第一項 に規定する独立行政法人等をいう。以下同じ。)五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合二 合併その他の事由による事業の承継に伴って個人データが提供される場合三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
委託、合併、あとグループ内とかの共同利用も例外になっているのでセーフ。ただ、これだと足りません。
例えば、現在非常に多く使われているOpenIDだとかOAuthのような仕組みは、同意のもとの第三者提供になるわけですが、これが例外になっていない。これ、1日何億件もあるんですよ。これを一々記録するのでしょうか?[4][5]
また、クレジットカード決済の仕組みというのは最低4者関わってきて、その間で今回明示的に個人情報とされたような情報がやりとりされるわけですが、その各プレイヤーの間には契約関係が無いので委託にはならず、そのようにデータが流れるということの本人同意も取っておらず…みたいなことが色々あるわけです。[6]
ちなみに、EUとかアメリカだと、これは「必要性」とか「コンテキスト」でくくられてセーフになるんですが、こういう「やって当然な」な正当なことが「あやしい名簿取引」と区別されていない。しかも、この分量たるやものすごい分量でして、それを長期間貯めろといわれると、それだけで大変なんでわと、他人事ながら心配になります。
まとめ
今回取り上げた点の1点目は、仕様はあってたけど、コーディングでマズったという事例。
もう一つは、法案起草者は世の中がどう動いているのか知らなかったんだろうなという点。ここは委員会などで議論されなかった点なので、フィードバックが効いていなかった。そういう意味では、仕様のバグかな。
これらは是正しないと、社会に多大な負担を強い、データを利用した経済活性化どころ、経済停滞を産むものです。必ずや是正されるものと信じております。
[4] 23条を使って除外したときに、柱書で「同意を得ないで」と書いているので、そこで同意はカバーしている気になってしまったのかもしれない。つまり、集合で書くと
(第三者提供データ∩同意を得ない第三者提供)\((委託∪合併∪共同利用)∪行政機関)
でも実際には、柱書の「同意を得ない」は後ろにかかっているので、
第三者提供データ\((同意を得ない第三者提供∩(委託∪合併∪共同利用)∪行政機関)
だから、同意を得たデータ提供が入ってしまっているんですよね。
これは本来は
同意を得ない第三者提供\(委託∪合併∪共同利用∪行政機関)
とするつもりだったということ。
[5] この段落、もともと現在のような形で書いていたのだが、会社に出る直前にPOSTしようとして読み返して、あ、違うかもと思って以下のように書きなおした。が、そんな思いつきは、やっぱり間違い。時間が無い時になおすのはろくな事ない。なので、ほぼ元の通りに直しました。「これは多分、本人の同意がある場合と、委託・合併・共同利用を例外としているんでしょう。なのでまず、OpenIDとかで提供している場合はセーフ。あと、委託(←これ、他国では第三者提供になってない。コントロール責任が移ってないので)、合併、あとグループ内とかの共同利用も例外になっているのでセーフ。ただ、これだと足りません。例えば、クレジットカード決済の仕組みというのは最低4者関わってきて、その間で今回明示的に個人情報とされたような情報がやりとりされるわけですが、その各プレイヤーの間には契約関係が無いので委託にはならず、そのようにデータが流れるということの本人同意も取っておらず…みたいなことが色々あるわけです。」
[6] これは、2条2項の柱書で個人情報の対象は「政令で定める」となっているので、何も定めなければ引っかからいという対応もあり得るが、そうすると何のためにこの項を書いたのか謎になりますね。
(改訂履歴)
- 2015-03-12 1:00 初稿 (未公開)
- 2015-03-12 8:30 公開直前に25条第1項の本文が各号にもかかっている気がして改定、公開
- 2015-03-12 9:40 Nov氏に別件で電車のなかからlineで条文解説していて、やっぱりダメだと思って会社に到着次第旧戻し。ただし、自戒の念を込めて、脚注にもとのダメな改定の記録[5]も残す。
- 2015-03-12 10:00 各節にタイトルをつけて見やすく。改訂履歴もつける。
- 2015-03-13 08:50 旧[4]→新[5]に。新[4]を追加。[6]を追加