マモリノジダイとは
会員登録
個人情報の第三者提供とは何? 同意の取り方などを知って企業を守ろう
企業活動において個人情報を外部に渡す「第三者提供」は、非常に慎重な取り扱いが求められる行為です。
特に中小企業では、業務委託や顧客対応の一環で個人情報を他社に渡す機会も多いといえます。そのため法的リスクを正しく理解していないと、思わぬトラブルにつながりかねません。
この記事では「第三者提供」の基本的な定義から、同意取得のルール、例外となるケース、罰則の内容までをわかりやすく解説します。企業の“守り”を強化するために、ぜひ参考にしてください。
個人情報の第三者提供を理解することは、企業のコンプライアンス対策として基本といえます。以下の資料では、社内ルール整備、従業員の巻き込み方、よくある初期の失敗までを、わかりやすく具体的に解説しました。個人情報の取り扱いだけでなく、様々なコンプライアンス対策が学べるので、ぜひダウンロードしてご覧ください。
目次
個人情報の「第三者提供」とは?基本の定義を押さえよう
個人情報を外部に渡す行為には、法律上「第三者提供」という区分があります。
これは、個人情報取扱事業者が、本人以外の第三者に対して個人データを提供することです。原則として本人の同意が必要になります。
また、提供元と受領先それぞれに「確認・記録義務」が課される場面もあるため、慎重な運用が必要です。
参考記事:個人情報保護法のガイドラインを知っていますか?企業の守りに必要な情報を解説!
第三者提供に該当するケースとは
以下のようなケースは、明確に「第三者提供」に該当し、法律に基づく確認や記録が求められます。
| ケース例 | 必要な対応 |
| 顧客情報を外部業者に販売する場合 | 本人の同意取得+記録の作成 |
| 名簿をグループ外の企業と共有する場合 | 共同利用要件を満たすか要確認 |
| マーケティング目的で外部企業へ情報提供する場合 | 利用目的を明示し同意を得ること |
| 外注先へ必要以上の顧客データを渡す場合 | 委託契約+範囲内の提供に限定 |
本人の同意がないまま、こうした提供を行うと個人情報保護法に違反するおそれがあり、場合によっては罰則も科されます。
また、提供を受ける企業側にも、提供元の事業者の情報や、個人データの取得経緯を確認する義務が発生します(個人情報保護法第30条)。これにより、不正に入手された情報の流通を防ぐ仕組みが整えられています。
参考)e-GOV「個人情報の保護に関する法律」
第三者提供に該当しないケース(委託・共同利用など)
一方で、同じく個人情報が他社に渡るケースでも、以下のような場合は「第三者提供」とはみなされず、確認・記録義務も免除されます。
| 項目 | 内容 |
| 委託 | 業務委託の一環で、利用目的の達成に必要な範囲内で個人データを提供する場合 |
| 事業承継 | 合併などに伴い、組織全体として個人データを承継する場合 |
| 共同利用 | あらかじめ本人に通知したうえで、特定の者との間で共同利用する場合 |
原則は「本人の同意」が必要!
個人情報を第三者に提供する際は、原則として本人の明示的な同意が必要です(個人情報保護法第27条)。同意を得ずに個人データを提供した場合、重大な法令違反となるおそれがあり、企業としての信用失墜にもつながります。
参考)e-GOV「個人情報の保護に関する法律」
同意の取得方法(文書・Webフォーム・口頭確認)
本人の同意は、取得方法が明確であることが重要です。以下のような方法が一般的に用いられています。
| 同意の取得方法 | 特徴 | 記録の観点での注意点 |
| 文書(書面) | 書面に署名・捺印をもらう形式。契約書などに記載されることが多い。 | 証拠性が高く、トラブル時に有効。保存が義務づけられる場合も。 |
| Webフォーム | チェックボックスや規約同意画面などでオンライン上にて取得。 | ログ記録やIPアドレスなど、取得の証拠を残すことが求められる。 |
| 口頭確認 | 電話対応や対面で口頭確認を行う方法。 | 録音や対応記録(日時・担当者名など)の残存が推奨される。 |
同意なく第三者提供した場合のリスクと罰則
個人情報を本人の同意なく第三者に提供してはいけません。違反した場合、企業には法的・経営的に深刻なリスクが及びます。
以下の表は、同意なしに第三者提供を行った際に発生し得る主なリスクと罰則の一覧です。
| リスク・罰則の種類 | 内容 |
| 行政指導・立入検査 | 個人情報保護委員会からの報告徴収や立入検査を受ける場合があります。 |
| 違反に対する過料 | 確認義務を怠った場合や虚偽報告を行った場合には、10万円以下の過料が科されることがあります。 |
| 民事責任(損害賠償) | 情報漏洩や不正提供によって本人に損害が生じた場合、企業は損害賠償責任を問われる可能性があります。 |
| 信用失墜・取引停止のリスク | 個人情報の不正流通が報道された場合、顧客離れ・取引停止などの社会的信用失墜につながることがあります。 |
参考)e-GOV「個人情報の保護に関する法律」
たとえ悪意がなかったとしても、確認や記録の不備があるだけで法違反と見なされることもあります。中小企業にとっても他人事ではありません。
適切な同意取得と記録管理を徹底することが、企業を守る第一歩です。
参考記事:個人情報保護法に違反したときの罰則は?対象の条文と一緒に企業がとるべき対策を解説
本人同意が不要な例外とは?
個人情報の第三者提供は原則として本人の同意が必要ですが、以下のように「本人の同意が不要」または「そもそも第三者提供に該当しない」とされるパターンが存在します。
最初にこの3つの分類を整理しておくと、各項目の位置づけがわかりやすくなります。
| 分類 | 内容 | 代表例 |
| ① 法定の例外 | 法令で定められた目的・状況により、本人同意なしで提供が可能 | 緊急医療、法令による命令 |
| ② オプトアウト方式 | 本人に通知・公表の上、拒否の機会を与えることで同意を得たとみなす方式 | 顧客情報のマーケティング活用 |
| ③ 第三者提供に該当しない場合 | 提供は行われるが、法的には第三者提供にあたらず同意が不要 | 業務委託、共同利用、事業承継 |
また「①法定の例外」を細分化したのが以下の表です。
| 例外内容 | 該当する具体例 |
| 法令に基づく場合 | 裁判所の令状により情報提供するケース |
| 生命・身体・財産の保護が必要な場合 | 緊急時に医療機関へ情報を共有する |
| 公衆衛生・児童の健全育成に必要な場合 | 感染症対策や児童保護のために行政機関へ情報提供 |
| 国や地方自治体への協力が必要な場合 | 調査協力などで行政機関に情報を提供する |
| 学術研究目的による提供 | 研究機関の間での学術研究のためのデータ共有 |
ただし、これらの例外に該当しない限り、本人の同意がなければ第三者提供はできません。
オプトアウト方式が使える場合と使えない場合
「オプトアウト方式」とは、事前に本人に通知または公表し、本人が拒否しない限り同意があったものとみなして第三者に提供できる仕組みです。
ただし、すべてのケースに適用できるわけではなく、以下のように明確な制限があります。
| オプトアウトが使える場合 | オプトアウトが使えない場合 |
| 利用目的が明確である 個人情報保護委員会に届け出済み 公表されていること | 要配慮個人情報を含む場合 未成年者を対象にする場合 外国の第三者へ提供する場合 |
| 提供先の範囲、利用目的などを明記している | 本人が容易に知り得る状態になっていない |
企業がオプトアウト方式を利用するには、委員会への事前届出と正確な記録管理が必要です。これが欠けている場合には法令違反となる可能性があります。
委託・共同利用は「第三者提供」に該当するのか
先述した通り、個人情報が他社に渡る場合でも、すべてが「第三者提供」に該当するわけではありません。業務委託や共同利用といった正当な枠組みであれば、本人の同意や記録義務が不要となるケースがあります。
ただし、それは適切な条件を満たしている場合に限られるため注意しましょう。以下に、第三者提供に該当しない条件と、それぞれの注意点を整理します。
委託の場合は以下です。
| 要件 | 内容 | 実務上の注意点 |
| 利用目的の範囲内 | 提供される個人情報は、あくまで自社の利用目的に必要な範囲に限られる | 委託先の業務内容が目的から逸脱していないか確認 |
| 契約等で適切な管理を義務付けていること | 委託契約において、安全管理措置や再委託制限などを明記する | 「個人情報の取扱に関する覚書」や「再委託禁止条項」の記載が推奨される |
| 委託先の監督義務 | 委託後も委託元は監督責任を負う | 定期的な点検・監査・報告体制の整備が必要 |
上記が整っていれば、委託は第三者提供に該当せず、本人同意や記録義務は不要になります。
また共同利用の場合は以下です。
| 要件 | 内容 | 実務上の注意点 |
| 共同利用の範囲・目的が明確である | 誰と、何の目的で、どんなデータを使うのかを定めておく | 利用項目、範囲、目的、責任者の情報を明示 |
| 本人に通知または公表されている | 本人が共同利用の詳細を確認できる状態にある | 会社HPへの掲載や利用規約への記載が一般的 |
| 管理責任者を定めている | 管理主体の明確化が必要 | 氏名・住所・連絡先を含めて明記する必要あり |
これらを満たせば、共同利用も第三者提供に該当しません。ただし、通知・公表が不十分な場合は「実質的に本人同意なしの提供」と判断される可能性があります。
ただし、「委託」や「共同利用」と名付けていても、実態として提供先が独自に情報を使っている場合は「第三者提供」として扱われることがあるため注意です。
そのため、契約書・運用実態・情報の流れを総合的に見て、法令上の「委託」や「共同利用」に該当するかを厳密に判断することが求められます。
個人情報の記録義務と保存ルールは?
「個人データを第三者に提供した」「第三者から提供を受けた」といった場合、個人情報保護法に基づく記録の作成・保存が企業の義務です。
これは、違法な情報流通を防ぎ、事後的に提供経路を追跡可能にするための仕組みになります。以下が義務事項の概要です。
| 提供者側の記録義務 | 受領者側の記録義務 |
| 提供日、提供先の氏名・住所等の記録本人の同意があるか、取得経緯など | 提供元の氏名・住所、データ取得の経緯、提供日などを確認・記録 |
| 原則として都度記録が必要だが、継続取引の場合は一括記録も可 | 継続提供の見込みがあれば月次や契約単位での記録も可 |
記録媒体は文書、電磁的記録、マイクロフィルムなどが認められています。
記録義務が免除されるケース
すべての第三者提供に記録義務が生じるわけではありません。以下のような特例に該当する場合には、記録義務が免除されます。
| 免除されるケース | 内容の要点 |
| 法令に基づく提供 | 裁判所命令や行政手続きに基づく情報提供 |
| 緊急対応が必要な場合 | 生命・身体・財産の保護が目的で、本人の同意が困難なとき |
| 公共機関への協力 | 行政機関の業務遂行を支援する必要があるとき |
| 委託・共同利用・事業承継 | 法第27条第5項に該当し、あらかじめ本人へ通知・公表済みであることが条件 |
| 提供先が「第三者」に該当しない場合(例:家族) | 本人と一体とみなされる関係性の場合 |
特に注意すべきなのは、「委託」や「共同利用」などが“形式的なラベル”だけで免除されるわけではないという点です。実態に即した運用でなければ、記録義務違反と判断される可能性もあります。
国外の第三者への提供ルールも押さえておこう
個人データを日本国外の第三者に提供する場合には、国内以上に厳格なルールが適用されるため注意しましょう。海外提供時の基本ルールは以下です。
| 要件 | 内容 |
| 原則、本人の同意が必要 | 提供先が海外の第三者である場合、個人情報の国外移転について明示した上での同意が必要(法第28条) |
| 同意を不要とする特例 | 以下の条件を満たす場合は同意が不要になることもある |
| 記録の作成・保存が必要 | 海外への提供記録も、国内と同様に提供日・提供先・確認内容などを保存(3年間) |
参考)e-GOV「個人情報の保護に関する法律」
ただし以下のいずれかに該当する場合は、本人の同意がなくても海外提供が可能とされます。
| 例外の類型 | 要件と具体例 |
| 同等の保護制度のある国 | 個人情報保護委員会が認定した国への提供は同意不要 |
| 適切な管理体制の整備 | 提供先が、日本の法令と同等の安全管理措置を継続的に講じる体制を整備しているとき |
| 法第27条第1項の例外 | 国内と同様、緊急時や法令に基づく提供など特別な事情がある場合(例:災害時の医療情報提供など) |
ただし、これらの要件を満たしていても、提供元には説明責任と記録義務があるため気を付けてください。
中小企業が「第三者提供」をする際に気を付けるべきポイント
個人情報の第三者提供におけるリスクは、全企業にとっても重大な経営課題です。特にリソースが限られる中小企業では、基本の対策を的確に講じることがリスク低減の鍵になります。
以下に、最低限押さえておきたい3つの実務ポイントを解説しますので、参考にしてください。
参考記事:企業の個人情報保護の重要性を理解しよう! リスク、対策などを紹介
提供対象情報の範囲を厳格に限定する
個人情報を提供する場合は、「必要最小限の範囲」での提供が原則です。提供先が求めていても、利用目的と関係ない情報まで渡すことは過剰提供となり法令違反に該当する可能性があります。
たとえば顧客への商品配送のために住所・氏名を委託先に渡すのは適法ですが、購入履歴や年齢情報まで含めてしまうと目的外利用になりかねません。
提供先との契約で利用目的と安全管理を明文化する
第三者への提供時には、契約書や覚書の中で個人情報の取扱に関する条件を明文化することが重要です。これにより提供先が不正利用や漏えいを起こした際の、法的責任を明確にできます。
契約で定めておくべき主な事項は以下です。
| 契約条項の例 | 内容の要点 |
| 利用目的の限定 | 提供を受けた情報をどの目的で利用できるか明示する |
| 再提供の禁止 | 提供先からさらに第三者に渡すことを原則禁止する |
| 安全管理措置 | 漏えい防止やアクセス制限などの対策を明文化する |
| 監査・報告義務 | 定期的な報告や監査を受ける義務を設ける |
提供後のフォローと監査体制を整備する
提供先がどのように個人情報を取り扱っているかを提供後も継続的に確認することが、第三者提供の安全性を担保するうえで欠かせません。
「契約で終わり」ではなく、運用実態を把握・改善できる体制づくりが必要です。例えば以下のような取り組みを行いましょう。
- 年1回の定期チェックリストによる確認
- 提供先からの報告書提出を義務化
- 苦情や漏えいがあった際の連絡フロー構築
まとめ
個人情報の「第三者提供」は、企業にとって大きなリスクを伴う行為です。特に中小企業では、法令知識や社内体制の不足から、無意識のうちにルール違反となるケースも少なくありません。
企業の信用を守るためには、「知らなかった」では済まされません。まずは自社の情報提供フローを見直し、必要なルール整備と社内教育を進めることが、中小企業を守るための第一歩です。
関連記事
-
COSOとは?内部統制フレームワークの原則や活用事例をわかりやすく解説
企業の内部統制について意識している経営層の方の中には、「COSO」に興味を持っている方も少なくないでしょう。しかし、COSOが具体的にどのようなものなのか、経営に対してどう役立つのか、といった点について把握できていないことも珍しくないはずです。
-
法人税法とは?中小企業が受けられる優遇措置や節税方法も解説
「法人税」については漠然と知っていても、法人税法が具体的にどのようなものであるかについてや、効果的な法人税の節税方法などについてはよくわからない、という方も多いのではないでしょうか。
企業を経営する上で、法人税法や法人税の節税方法を理解していることは、大きな武器となります。
この記事では、法人税法の基本から、経営に役立つ節税のための具体策などについて詳しく解説していきます。
-
【36協定では合法】月40時間の残業はきつい?違法性や業種別の残業時間も解説
「月40時間の残業」は、36協定を締結している企業においては、法的に許容される範囲内であることが一般的です。
しかし、「合法」であるからといって、月40時間の残業による従業員の負担感が見過ごされてよいわけではありません。
この記事では、月40時間の残業が本当に「きつい」のかどうか、業種によって異なる残業時間の現状を詳しく解説します。
-
クレーム対応が上手い人の特徴は?具体的なテクニック、メンタル管理法も紹介
クレーム対応は、企業の信頼を左右する重要な接点です。特に中小企業では、対応が属人的になりやすく、たった1人の振る舞いがブランド全体に影響を及ぼすこともあります。
だからこそ、“クレーム対応が上手い人”の特徴や行動を理解し、組織的に共有・育成していくことが、企業の「守り」を強化するうえで欠かせません。
本記事では、クレーム対応に長けた人が持つスキルやマインド、現場で役立つテクニック、そして対応する人自身のメンタルの保ち方まで、実践的な視点で詳しく解説します。
-
IFRS(国際会計基準)とは?日本基準との違いや導入のメリット・手順
企業の会計担当者や公認会計士のように、会計処理を専業としている場合、IFRSがどのようなものか把握しておきたいと考えている方も多いのではないでしょうか。企業によっては、会計基準としてIFRSを導入することで、大きなメリットを得る可能性もあります。