【個人情報保護法改正】第三者提供記録義務について【Part 2】

３. 更に、SNSの公開プロフィールページなどの取得記録義務が提供先にかかるが、現実的ではないのではないか？

一方、新26条では参照側が個人情報取扱事業者（個人情報データベース等を事業の用に供している者）だった場合の義務を記載している。

第二十六条　個人情報取扱事業者は、第三者から個人データの提供を受け
　るに際しては、個人情報保護委員会規則で定めるところにより、次に掲
　げる事項の確認を行わなければならない。ただし、当該個人データの提
　供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は
　、この限りでない。
　一　当該第三者の氏名又は名称及び住所並びに法人にあっては、その代
　　表者（法人でない団体で代表者又は管理人の定めのあるものにあって
　　は、その代表者又は管理人）の氏名
　二　当該第三者による当該個人データの取得の経緯

２ 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う
　場合において、当該個人情報取扱事業者に対して、当該確認に係る事項
　を偽ってはならない。

３　個人情報取扱事業者は、第一項の規定による確認を行ったときは、個
　人情報保護委員会規則で定めるところにより、当該個人データの提供を
　受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で
　定める事項に関する記録を作成しなければならない。

これによると、個人情報取扱事業者の社員が業務でSNSのページなどを参照した場合、SNSの名称、代表者氏名及び個人データ取得の経緯調べ、「当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項」を記録しなければならないことになる。ここでも「当該確認に係る事項その他の個人情報保護委員会規則で定める事項」の解釈が問題になる。もしもこれに「誰の情報を取得したか」が入るとすると、かなり難しくなるケースが想定される。

APIでプロフィール情報などを取得している場合には恐らくログを残しているだろうのでまだ良い。だが、プロフィールページ閲覧の場合にログを残しているかは疑わしい。数週間分くらいであれば、ブラウザ履歴に残っているかもしれないが、シークレットモードで参照したら残らないし、そもそも保存期間は５年とかを考えているらしいので、通常のブラウザの履歴ではだめそうである。ブラウザにプラグインでも入れてやるのだろうか？^[3]。

また、取得の経緯というのは通常提供されないので、これををいかにして取得するかというのも問題になる。API経由での取得の場合、提供元が日本の事業者の場合は特別に項目を作って対応してくれる可能性もある^[4]が、海外事業者だと難しかろう。（ちなみに、取得の経緯であるが、多くのSNSでは、本人に寄る直接入力以外に、機械によって自動的に記入されるものや、他事業者経由で取得するものもあるが、どこかで本人同意が入っていれば、これらはみな、「本人同意による」と記載すれば良いらしい。）また、ページを閲覧する時に、そのページの提供者の氏名＋住所 or 名称＋住所＋代表者氏名を記録しているかというと、現状はまったくそんなことは無いわけで、自動化するには、サイト側がこうしたメタデータを標準化された形式で提供しない限り難しい。これらは、API経由の取得でも同じことが言える。動的に新しいサーバに接続して個人データを取得する場合はもちろん、最初に登録した時に記録したとしても、その後代表者が変わった時にそれを記録するためには、やはりプロトコル的に自動で提供されるようになっていないと厳しい^[4]。

4. 海外事業者はこんな対応はしないだろう。すると、日本の事業者だけが不利な状況に置かれるのではないか？

前述のとおり、このような規制は他国では類を見ないように思われる^[5]。したがって、他国の事業者がこのような対応をするかは甚だ疑わしい。日本の事業者だけが追加コストを払うことになり、不利な状況に置かれるのではないかとの疑問が上がってくる。場合によっては海外に移転を事業者が考えたり、同意モデルを捨てて名簿やモデルに走るることもあり得る。現在は遵法精神をもって、第２３条２項の抜け穴は使わずに、同意を取得して行っているわけであるが、この同意の取得というのは離脱率が２～３割程度もあるというかなりコストの高いものである。これに対して、名簿屋モデルだと委員会に届け出するだけで、脱落率は原理的にゼロである。コスト換算をすると、名簿屋モデルの方が望ましいとの判断をすることも想像にかたくない。

この点について質問したところ、もしも海外に移転させて日本向けのサービス提供を行う事業者が出た場合には、域外適用の対象となるだろうとのことであった。また、名簿屋として届け出した場合は、委員会の監視をずっと受けることになるのでそのコストをどう考えるかとのことであった^[6]。

5. 委員会規則がキモ

上記のことからわかることは、結局は委員会規則がキモだということであろう。委員会規則で「名称その他の個人情報保護委員会規則で定める事項」として、「事業者の名称＋住所＋代表者氏名」などとされたら、提供側は即死だし、逆に「IPアドレスでOK」となればまだ何とかなる。また、取得の経緯も、この日の話のように「本人同意と書けば良い」となればよいが、「直接の受領元と日時」のようになったら、恐らく死ぬ。

受領者側はもうちょっと厳しくて、上記のようにブラウザにプラグインでお入れない限り、法令遵守は難しそうだ。

そう考えると、交通法規のように、「大部分の人は違反しているが、その人達は捕まえない。事故を起こした人と、明らかに怪しい人だけを、この法文を使って捕まえる。」という運用でカバーするという対応になるのかもしれない。これはこれで、どうかと思うのだが…。

[3] その他にもやり方は考えられるだろうが、いずれにせよ現状に比べると負荷が上がる。

[4] オレオレガラパゴス仕様にするのか、それともIETF、OIDF、OASIS、W3Cなど各プロトコルを担当している標準化団体で標準化するのか？（冗談）

[5] EUの規則提案では、本人同意があったことを事業者の立証責任とするという規定があるそうで、逆に言うとそれ以上を求めていないようだ。（出所：産総研高木先生）

[6] ３割脱落するというのは、ヘタしたら売上の３割のコストということである。これに比べたら、監視されるコストなど、正直、大したコストでは無かろう。