12/12に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正されたようだ。
あと、Q&A も更新されている。
新旧対照表を見ると大きく変わっているのは委託先などの安全管理措置に関する内容。
ベネッセ事件が大きく影響している感じ。
改正点で目を引いたのは、2-2-2 (1)適正取得 の項。
また、第三者からの提供(法第23条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。)により、個人情報(政令第2条第2号に規定するものから取得した個人情報を除く。)を取得する場合には、提供元の法の遵守状況(例えば、オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契約書等の書面を点検する等により、当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。
とあって、「提供元の法の遵守状況を確認」せよとのこと。
提供元が適法に個人情報を取得したことを提供先が確認できない場合は提供を受けることを自粛した方がよい、とあるのだが、適法に取得したことが確認できなければ、不法に取得しているということではないのか?
提供先はそんなリスクを取ってまで提供を受けるのかなぁ、と思う。