こちらも平成27年改正で加わった項目です。
個人データを第三者に提供する場合、一定の項目を記録、保管する義務があります。
個人データの提供を受ける側にも、一定の事項を確認、記録、保管する義務があります。
第三者提供に係る記録の作成(第25条)
記録を作成すべき事項は
- 個人データを提供した年月日
- 提供先の氏名又は名称
- 当該個人データで識別される本人の氏名
- 当該個人データの項目
となっております(規則第23条)
保管すべき期間は原則3年です。
第三者提供を受ける際の確認(第26条)
提供を受ける側が確認、記録しなければならない事項は
- 当該第三者の氏名又は名称
- 当該第三者の住所、(法人の場合)代表者
- 当該個人データの取得の経緯
特に3番目が大事です。どこからか盗んできたものでないか確認してください、ということです。出題実績もあります(第47回試験)。
記録を保管すべき期間は同じく原則3年です。
なお、当然といえば当然ですが、第23条第1項で本人の同意を得ないで第三者提供してよいとしている場合(毎度おなじみの、法令に基づく場合、ほか)や、第23条第5項で「第三者」にあたらないとしている場合(委託、事業承継、共同利用)には提供する側も提供を受ける場合も記録の作成は不要です。