個人情報保護委員会は2016年8月2日、改正個人情報保護法の政令案と委員会の規則案を公表した。個人データを他社に提供した場合、最長3年間の記録の保存が義務付けられる。「小売り業者が修理業者に顧客の個人データを渡すといった場合」は、企業の負担軽減策が盛り込まれたものの、企業によっては個人データを社外に渡す際の業務規程の見直しを迫られそうだ。また、携帯電話番号は個人情報の対象外となった。
改正法に詳しい企業関係者からは、2017年の施行に向けてどう対応していくか悩む声も上がっている。
全企業の個人データ提供に見直し迫る「名簿業者対策」
改正個人情報保護法は、2014年7月にベネッセコーポレーションから大量の顧客情報が名簿業者を通じて流通していた事件の発覚を受けて、個人データの提供経緯を追跡できる「トレーサビリティ」を義務付けた。名簿業者だけではなく、個人データを扱う全ての企業が対象だ。
企業が本人の同意なくオプトアウト(データの利用停止)の手段を示して個人データを渡す他社に場合は、個人情報保護委員会への届け出が必要となり、委員会がインターネットなどで公表する。同意がある場合でも、企業には提供先などの記録や保存が義務付けられる。そのため専門家からは、過剰規制になるのではないかという懸念が出ていた。
個人情報保護委員会が公表した規則の骨子案によると、商品やサービスの提供に関連して個人データを第三者に提供したり受け取ったりした場合、そのつど速やかに提供先や、提供された個人データの氏名などを記録しなければならない。保存期間は最長3年としている。
規則案は、個人データの提供の仕方などに応じて企業負担の軽減策を盛り込んでいる(図)。本人の同意を得て第三者に提供した場合は、最後に個人データの提供を行った日から起算して1年を経過する日までの間に保存期間を短縮する。
