個人情報の第三者提供とは｜個人情報の第三者提供の８つの知識

個人の氏名・住所・連絡先など顧客から得た個人情報の第三者提供は、「個人情報保護法」で制限されています。

本人から正式に得た個人情報。しかし、企業は好きに使ってはいけません。
個人情報を第三者に渡す場合、本人から同意を得ておかなければならないのです。
ダイレクトメールを送る目的などで個人情報を欲しがる取引先がいても、自社の個人情報を本人の同意を得ずに譲ってはいけません。

これが、個人情報保護法で制限されている「第三者提供の制限」です。

今回は、この個人情報の第三者提供の制限について

• ２０１７年の法改正で追加された第三者提供に関する義務
• 個人情報を第三者提供に関する記録・確認義務が生じないケース

などについて解説していきます。
この記事で、個人情報の第三者提供についてマスターしてください。

個人情報の漏洩に関しては、以下の関連記事をご覧ください。

[nlink url=”https://best-legal.jp/personal-information-leakage-28051/”]

１、２０１７年の法改正で追加された、個人情報の第三者提供に関する義務

２０１７年に、個人情報保護法が一部改正されました。その内容の一つが個人情報の第三者提供に関してです。

改正前の個人情報の第三者提供の制限はただ一つ。
「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」
これだけでした。

しかし、この改正によって、本人の同意を得て提供する場合について、またその提供を受けた場合について、以下の義務が追加されたのです。

情報化社会では、縦横無尽に情報が行き交います。
そのため、情報の「トレーサビリティ」（＝流通経路等記録することにより追跡可能とすること）を確保しよう、という必要性が生まれました。

（１） 個人情報を第三者に提供するときは、一定事項の記録を残すこと

① 本人の同意を得て第三者提供する場合

個人情報を第三者に提供するときは、以下の事項について記録を残さなければなりません。

• 第三者の氏名等（不特定かつ多数の者に対して提供したときは、その旨）
• 本人の氏名等
• 提供した個人データの項目
• 本人の同意

② オプトアウトにより第三者提供する場合

オプトアウトとは、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなす、というものです。
対面取引でない場合など、本人から直接同意を得ることが難しい取引をする企業などは、自社のホームページの個人情報取扱についてのお知らせページなどで、「当社は、●●株式会社に顧客の個人情報を譲渡します」と謳い、オプトアウトを利用しています。

オプトアウトにより第三者提供する場合は、以下の事項について記録を残さなければなりません。

• 提供年月日
• 第三者の氏名等（不特定かつ多数の者に対して提供したときは、その旨）
• 本人の氏名等
• 提供した個人データの項目

なお、「要配慮個人情報」（人種、病歴などの取り扱いに配慮を要する情報）についてはオプトアウトによる第三者提供はできません。

（２） 個人情報を第三者から受領する時は、一定事項を提供者に確認し、その記録を残すこと

① 本人の同意による第三者提供を受ける場合

本人の同意に基づいて、第三者から個人情報の提供を受けるときは（ex. スポーツ用品会社が、提携するスポーツクラブから、スポーツクラブ会員の個人情報をもらう場合で、スポーツクラブが会員から個人情報のその提供について同意を得ている場合）、提供を受ける会社は、以下の項目について提供者に確認し、その記録を残しておかなければなりません。

• 第三者の氏名等
• 取得の経緯
• 本人の氏名等
• 個人データの項目
• 本人の同意

② オプトアウトによる第三者提供を受ける場合

オプトアウトにより、第三者から個人情報の提供を受けるときは（ex. スポーツ用品会社が、提携するスポーツクラブから、スポーツクラブ会員の個人情報をもらう場合で、スポーツクラブがオプトアウトを採用している場合）、提供を受ける会社は、以下の項目について提供者に確認し、その記録を残しておかなければなりません。

• 提供を受けた年月日
• 第三者の氏名等
• 取得の経緯
• 本人の氏名等
• 個人データの項目
• 個人情報保護委員会による公表

③ 私人からの第三者提供を受ける場合

会社が私人である第三者から個人情報の提供を受けるときは（ex. スポーツ用品会社が、個人顧客からその友人の個人情報をもらう場合）、提供を受ける会社は、以下の項目について提供者（私人）に確認し、その記録を残しておかなければなりません。

• 第三者の氏名等
• 取得の経緯
• 本人の氏名等
• 個人データの項目

（３） オプトアウトする場合は、個人情報保護委員会への届出義務

オプトアウトで個人情報を第三者に提供する場合、その項目を個人情報保護委員会へ提出することが義務付けられました。個人情報保護委員会は、その内容を公表します。

２、確認・記録義務追加の背景

２０１４年７月、某通信教育大手企業の関連会社に勤務する派遣社員の犯行により、同社グループの顧客情報約３５００万件超が流出する事件が発生しました。
犯人が持ち出した個人情報は名簿業者などに転売され、その名簿業者から個人情報を購入した複数の企業から同社の顧客に対し大量のダイレクトメールが送付されるなど、顧客には多大な迷惑が生じたのです。
この事件の発覚により社会的信用が失墜した同社では著しい顧客離れが生じ、赤字決算に転落するなど経営に深刻な影響が生じました。

類似の事件は過去にも別企業で発生していたのですが、この事件により、企業などから不正に持ち出された個人情報は、名簿業者により転売などの形で違法に流通しているという実態が改めて明るみに出ました。
これを重く見た政府は、２０１７年に改正した個人情報の保護に関する法律（以下、個人情報保護法）を施行し、個人情報を提供または受領する事業者に対し、前述の義務を課すよう新たに定めました。

第二十五条
個人情報取扱事業者は、個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
２、個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
第二十六条
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一　 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二　 当該第三者による当該個人データの取得の経緯
引用： 個人情報の保護に関する法律

参考　https://www.ppc.go.jp/files/pdf/guidelines03.pdf

３、実は「１」の記録・確認がいらないケースが大半！

「１」でご説明した個人情報の第三者提供における記録・確認作業ですが、実は、一般的な事業内容である限り、行わなくて良い場面が大半なのです。

以下、ご説明いたします。

（１） 委託

実務では、事務処理の委託のために、他社に顧客情報を渡さなければならないケースがあります。

このように、企業が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って、当該個人データが提供される場合は、第三者提供ではない、と規定されています（法第 ２３ 条第 ５ 項第 １ 号）。

そのため、そもそも第三者提供ではないとして、この場面においては、第三者提供の同意も不要である上、記録・確認義務も生じません。

（２） 共同利用

提携先などとの共同作業で、一つの業務を遂行する場合が多々あります。

このような場合も、共同利用者間での個人情報のやり取りは、第三者提供ではない、と規定されています（法第 ２３条第 ５ 項第 ３ 号）。

そのため、そもそも第三者提供ではないとして、この場面においても第三者提供の同意は不要である上、記録・確認義務は生じません。

ただ、共同利用の一定項目（個人データの項目や個人データの管理責任者の氏名など）に関して、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている（ex.HPに掲載している）ことが必要です。

（３） 国等への提供

事業によっては、主任者など個人を事業協会へ登録する必要があったりします。

この場合も企業から協会へ個人情報を提供していますが、この場合も、第三者提供の同意も不要である上、記録・確認義務の対象外です（法第２５条第１項、第２６条第１項）。

（４） 個人データでない

この記録・確認義務は、個人情報ではなく「個人データ」に対する義務です。
個人データとは、データベースの構成素材。
つまり、個人データとは、「顧客リスト」など、複数の顧客についてのデータが蓄積されたデータベースの一部であることが必要です。

そのため、単なる名刺一枚を第三者提供するときにまで、この記録・確認義務は課せられません。
また、提供側にとっては個人データでも、受け取る側にとっては何らデータベースの一部とは言えないケースでは、受け取る側の確認・記録義務はないことになります。

（５） 本人による提供

例えば、本人が、保険料金の一括見積もりサイトに、個人情報を書き込んだとします。
この一括見積もりサイトの運営会社は、最終的にこの顧客情報を保険会社に提供するのですが、このサイト運営会社から保険会社への第三者提供は本人による提供であるとして、記録・確認は不要です。

なお、第三者提供の同意は必要ですので、この見積もりサイト上で、サイト運営会社が保険会社へ第三者提供することについて同意を得ることになります。

（６） 本人に代わっての提供

本人の代わりに第三者に渡す場合も記録・確認は不要です。
例えば、保険代理店などの場合、代理店として受け取った顧客情報を保険会社へ提供しています。
これも理屈では、代理店という法人から保険会社という別法人への第三者提供になりますが、本人は、保険会社に自分の個人情報が行くことを意図しています。

そのため、代理店は、本人に代わって提供している、ということになり、記録・確認は不要です。

（７） 契約書等代替手段による方法

これは記録を完全に行わなくて良いケースとは少し違います。

新たな記録作業は不要で、既存の行為を記録とみなす、という方法です。
顧客との商品（サービス）の契約書があり、その契約書で第三者提供についての同意を得ていれば、この契約書が記録の代わりになります。
そのため、契約書を保管しておくことにより記録義務としての記録の作業は不要です。

なお、この方法は、オプトアウトによる第三者提供については対象外とされています。

（８） 一括して記録を作成する

これも、記録を行わないケースではなく、記録を省略するケースです。

一定の期間内に、特定の事業者との間で、継続的に又は反復して個人データを授受する場合があると思います。そのようなとき、個々の授受で記録をすることは大変煩雑です。
そのため、このような場合は、一括して記録を作成することができるとされています。

なお、この方法も、オプトアウトによる第三者提供については対象外とされています。

（９） その他

この他、様々な細かいケースが個人情報の保護に関する法律についてのガイドラインに定められています。
記録・確認義務についてご不明点がございましたら、どうぞ弁護士までご相談ください。

参考　個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）

４、記録した事項は一定期間の保存が必要

作成された記録は、個人情報取扱事業者にて一定期間保存することが義務付けられています。
そして、その保存期間は、第三者提供時の記録の作成方法により異なります。

（１）契約書等の代替手段による方法で作成された場合は１年

この場合の保存期間は、個人データを提供した日から１年です。

（２）一括して記録を作成する方法で作成された場合は３年

この場合の保存期間は、最後に個人データを提供した日から３年です。

（３）上記以外の場合は３年

この場合の保存期間は、記録を作成してから３年です。

５、個人情報の第三者提供ルールに違反するとどうなるの？

個人情報保護法における個人情報取扱業者の監督機関は、原則的には個人情報保護委員会です。
個人情報保護委員会は、個人情報取扱事業者に対する指導・助言と併せて、それに従わない場合のペナルティとして措置勧告・措置命令を行う権限が与えられています。

また、個人情報保護委員会は事業者に対して、個人情報の取扱いについて報告を求め、又は立入検査を行うことができます。
措置命令違反に関する罰則は、個人情報取扱事業者である会社に対して最大３０万円の罰金、その従業員に対して最大６か月の懲役または最大３０万円の罰金と定められています。

６、個人情報の第三者提供に関する同意書の雛形と書き方

個人情報の第三者提供に関する同意書の雛形がこちらです。
実際は、個人情報取扱業者がその事業や目的に沿った形にカスタマイズされたものを使用することになります。
同意書の法的効力は契約書と変わりません。

なお、雛形に記載の項目の他に、「個人情報の管理方針」についても、項目を設けておくと良いでしょう。

７、個人情報保護法のガイドライン

（１）ガイドライン

すでに少し触れましたが、個人情報保護法は、その内容が複雑なことからも、当局からガイドラインが発表されています。
このガイドラインは、通則編から漏洩対処編まで、様々なシーンに合わせて作成されています。
法律だけではわからない解釈や実務対応が掲載されていますので、ぜひ参考にされてください。

（２）ガイドラインは業種ごとにも

さらに、このガイドラインは、個人情報を特に利用すると考えられる業種ごとにも作成されています。
大きくは金融と医療ですが、その他にも、郵便事業関係、スマホ等携帯電話事業も関わる電気通信事業関係などです。
心当たりのある事業の方は、ぜひ確認してください。

引用　個人情報保護委員会

８、トラブル防止を考えるなら弁護士への相談がおすすめ

（１）社内における整理を

あなたの会社においても、様々な個人情報のやり取りが発生していると思います。
コンプライアンスの観点からも、その１つ１つを洗い出し、記録・確認が必要なのか検討してください。

前述したように、通常の事業であれば記録・確認は不要であることが多いことは確かです。
しかし、１つ１つの第三者提供について、記録・確認を不要とする理由を明確にし、社内で整理をしておきましょう。

（２）弁護士への相談がおすすめ

とはいえ、改正後の個人情報保護法における個人情報の第三者提供にかかる義務は非常に複雑です。
それに対する十分な知識が無いまま、事業者の判断により第三者提供を行うことは、ビジネスのリーガル・リスクに直結します。

社内で理解を整理する場合でも、個人情報保護法に詳しい弁護士に相談しながら、弁護士の意見書などを取り揃えておけば最善です。
個人情報の第三者提供に関する同意書の作成方法などのトラブル防止策や、個人情報の授受を巡る万一のトラブル発生時にも、弁護士に相談すれば適切な助言を得ることができますし、事業者の代理人としてのトラブル対応についても依頼することが可能です。

まとめ

個人情報保護に関する各種規制は、今後厳しくなることはあっても緩和されることはないでしょう。
特に個人情報・個人データの第三者提供については悪質な違反事例が後を絶たないため、当局の監視の目はより一層厳しくなるものと考えられます。
あなたのビジネスを無用なリスクに晒さないために、まずは個人情報の第三者提供に関する基本的な知識を身に付けてください。

そして、弁護士などの専門家などに相談しながら、ビジネス上の体制整備を行ってください。
それが、個人情報の取り扱いについて、事業者に徹底した配慮を求める現代のビジネスシーンを生き残る必要条件のひとつです。