個人情報を第三者に提供する場合のルールとは

 

 
度重なる個人情報の漏えいなどの問題から、その取得・利用・保管・管理などへの意識が個人でも事業者（企業）でも高まっています。

そこで本記事では、事業者（企業）などが個人情報を第三者に提供する場合のルールについて、個人情報保護法と照らし合わせながら解説していきます。

個人情報には、次のものなどが該当します。
 

 
上記以外にも、個人情報にはさまざまな種類があり、個人情報の定義やその取り扱いルールなどについては「個人情報保護法」で細かく規定されています。

個人情報保護法は、個人情報を取扱うすべての事業者（企業）や組織が守らなければならない共通のルールです。

「個人情報の第三者提供」というのは、ある企業や組織が保有する個人情報を、自社・自組織以外の外部の法人や個人に提供することをいいます。

個人情報の第三者提供により、企業等は業務効率の向上やユーザーの利便性などを図ることができますが、同時に個人情報の持ち主である本人のプライバシーを保護するために、法的な規制を遵守することが欠かせません。

個人情報保護法では原則として、企業等が保有する個人情報（個人データ）を第三者に提供する場合は、本人の同意なくはできないと規定しています。

ただし、例外として、本人の同意がなくても提供できる場合があります。

違反した場合は法的制裁（刑事罰）が科され、民事では個人情報の本人から損害賠償請求をされるリスクがあるため、慎重な対応が必要です。

本記事を最後まで読んでいただくと、個人情報の取り扱いについての正しい知識を理解することができます。

ぜひ生きた知識を身につけて、今後の企業運営に活用していただきたいと思います。
 

個人情報保護法とは／
その概要を確認！

「個人情報保護法」は、2003（平成15）年に制定、2005（平成17）年に全面施行された法律で、正式名称を「個人情報の保護に関する法律」といいます。

法の目的は、「個人情報の適正な取り扱いに関して、その有用性に配慮しながら、個人の権利や利益を保護すること」と規定されています（第1条）。

個人情報保護法は、デジタル化の進展や社会情勢の変化に対応するため、2015年から約3年ごとに法改正をして、見直しが行なわれています。

個人情報保護法は、すべての事業者（企業）や組織（国の行政機関や独立行政法人、地方公共団体等）が守らなければならない共通のルールです。

営利か非営利かに関わらず、個人情報の取り扱いが1件でもある事業者や組織すべてに適用されることを理解しておく必要があります。
 

【参考資料】:「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？（政府広報オンライン）

個人情報とは／その定義と種類に
ついて

個人情報の定義

個人情報について、個人情報保護法では次のように定義しています。
 

個人情報の種類

法律で保護される個人情報については、細かく分類されているため、ここでは主要なものをピックアップしてみます。

基本的な個人情報
（個人情報保護法第2条1項）

もっとも一般的な情報の類型で、個人を直接識別できるもの。
 

個人識別符号
（個人情報保護法第2条2項）

文字、番号、記号その他の符号など単体の情報で特定の個人を識別できるもの。

１．身体の特徴をパソコンで使えるように
変換した文字、番号、記号、その他の符号で
個人を識別できるもの

• DNA配列
• 顔認証データ
• 眼球の虹彩
• 声紋
• 歩行態様
• 静脈認証
• 指紋
• 掌紋　など

 
２．個人に発行されるカードなどに記載された番号等で特定の個人を識別できるもの

• パスポート番号
• 基礎年金番号
• 運転免許証番号
• 住民票コード
• マイナンバー
• 健康保険の被保険者証番号　など

要配慮個人情報

他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないよう、取扱いに配慮・注意するべきもの。
 

 
※上記の個人情報は差別や不利益を招くおそれがあるため、取り扱いに際しては原則として本人の同意が必要です。

個人データ・
個人情報データベース・
保有個人データとは？

１．個人データ

企業が取得した個人情報をデータ化したもの。
 

２．個人情報データベース

• 特定の個人情報をコンピュータを用いて
  検索できるように体系的に構成したもの
• 目次や索引などによって容易に
  検索できるよう整理された紙媒体　など

３．保有個人データ

個人情報取扱事業者が保有する個人データのうち、本人から請求される開示・訂正・削除などに応じることができる権限を有するもの。
 

【参考資料】:個人情報の保護に関する法律についてのガイドライン（通則編）（個人情報保護委員会）

個人情報の第三者提供とは？
実例を解説

個人情報保護法における「個人情報の第三者提供」とは、個人情報取扱事業者が、個人情報の持ち主本人以外の第三者に、個人情報を提供する行為を指します。

具体的な実例としては、次のケースなどがあげられます。

ECサイトの顧客データを
マーケティング会社に提供

ECサイト運営会社が広告配信などのために、購入履歴や年齢層などの顧客データを外部企業へ提供。

【注意点】提供先が独自の目的で利用するため、本人の同意が必要。

ショッピングモール運営会社が
加盟店に会員情報を共有

モール会員の情報を店舗に渡し、セール案内などに活用。

【注意点】利用目的の明示と同意取得が不可欠。目的外利用のリスクも考慮。

フランチャイズ本部が
加盟店に顧客情報を提供

顧客対応やキャンペーン実施のために情報を共有。

【注意点】フランチャイズ内でも第三者提供に該当するため、同意取得が必要。

保険会社が提携病院に
契約者の診療情報を提供

保険金支払いの審査目的で情報を共有。

【注意点】本人の同意が必要。特に要配慮個人情報の場合は慎重に取り扱う。

不動産会社が提携ローン会社に
顧客情報を提供

住宅ローンの事前審査等のために、氏名や年収などを共有。

【注意点】第三者提供に該当するため、本人の事前同意が必要。

人材紹介会社が企業に
応募者の履歴書を提供

求人企業に対して、応募者の職歴・連絡先などを送付。

【注意点】応募者の同意が前提。目的外利用の防止も重要。

学校が企業から
卒業生の情報を取得

大学などが企業に対して卒業生の情報の取得を依頼。

【注意点】第三者提供にあたるため、本人の同意が必要。

生命保護のために病院が
家族の連絡先を警察に提供

急病人が意識不明で、本人の同意が得られないような場合。

【注意点】個人情報保護法の例外規定により、同意不要。

児童相談所が虐待情報を
警察と共有

児童の安全確保のため、関係機関で情報を共有。

【注意点】公衆衛生・児童育成目的の例外として、情報提供が認められる。

税務署が企業から
従業員の給与情報を取得

税務調査の一環として、法令に基づき情報提供。

【注意点】法令に基づく提供は同意不要。

オプトアウト方式による
データ提供
（例：データベース販売）

本人の同意なしに提供できるが、事前に公表・届出を行なう。

【注意点】要配慮個人情報は対象外。本人が拒否すれば即停止。

※オプトアウト＝本人からの反対がない限り、これに同意したものとみなして事業者が第三者へ個人情報を提供できる仕組み。

個人情報を第三者に提供する場合のルールと注意点

企業などが保有する個人情報（個人データ）を第三者へ提供する場合、個人情報保護法で規定されているルールがあるので確認していきましょう。

第三者提供での原則とルール

本人の同意を得ない場合は、個人情報を第三者に提供してはいけない、というのが原則となっています（第27条1項）。

そのため、第三者への提供の前に本人から明確な同意を得る必要があります。

同意の取得方法は、書面、メール、Web上のチェックボックス、音声入力など多様ですが、本人が内容を理解し、自由意思で同意したことが確認できる必要があります。

その際、次の事項について明示する必要があります。
 

 
なお、親会社と子会社の間やフランチャイズの本部と加盟店の間などグループ内で個人情報を授受する場合も、法律上では第三者への提供になるので注意する必要があります。

本人の同意がなくても
第三者に提供できる場合とは？

ただし、次のいずれかの場合は本人の同意を得なくても、個人データを第三者に提供することができます。

次のいずれかの場合
（第27条1項）

１．法令（条例を含む）に基づく場合
 

 
２．人の生命、身体または財産の保護のため（かつ本人の同意を得ることが困難な場合）
 

 
３．公衆衛生、児童の健全な育成のため（かつ本人の同意を得ることが困難な場合）
 

 
４．国や地方公共団体などへの協力（かつ本人の同意を得ることにより事務遂行に支障のおそれがあるとき）。

５．学術研究機関などによる学術研究の成果の公表または教示のためやむを得ないとき。

６．学術研究機関などが学術研究目的で共同研究先である第三者に提供する必要があるとき。

７．学術研究目的で学術研究機関などである第三者に提供する必要があるとき。

※５、６、７では、個人の権利利益を不当に侵害するおそれがある場合を除く。

次の３点すべてを行なう場合／
オプトアウト手続（第27条2項）

１．本人の求めに応じて、その本人のデータの提供を停止することとしている。

２．次の各項目をあらかじめ本人に通知し、または本人が容易に知ることができる状態にしておく。
 

 
３．本人に通知等した事項を個人情報保護委員会に届け出る（個人情報保護委員会はこれを公表）。

※なお、要配慮個人情報の提供は不可などの制約があることに注意が必要。

委託・事業の承継・共同利用を
行なう場合（第27条5項）

１．業務委託先へのデータ提供
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合。

２．合併や事業承継でのデータ提供
合併その他の事由による事業の承継に伴って個人データが提供される場合。

３．特定の者との間での共同利用
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合。

※共同利用では、次の５項目をホームページに掲載するなど、本人が容易に知ることができる状態にしておくことが必要。
 

個人情報の第三者提供と
第三者委託の違いについて

個人情報を外部に渡すという点では、第三者提供と第三者委託は共通していますが、目的と管理責任の所在が異なることに注意が必要です。

第三者提供

【目的】個人情報を受け取った第三者が、自身の目的のために個人情報を利用。

【同意】原則、情報提供の前に本人の同意が必要。

【責任】提供後、提供元は提供された個人情報の利用について直接的な責任を負わない。

第三者委託

【目的】委託元事業者の業務を遂行するため、個人情報の取り扱いを外部事業者に依頼。

【同意】原則、本人の同意は不要（あくまで委託先は、委託元の目的を遂行するために情報を利用するため）。

【責任】委託元事業者には、委託先の選定や監督義務が課せられる。また、委託先で情報漏洩などの問題が発生した場合は、委託元も責任を負う可能性がある。

第三者への提供・
受領時の記録・確認義務

提供者の記録義務事項
（第29条）

個人情報取扱事業者は、第三者に個人情報を提供する際、個人情報保護委員会規則で定める次の記録を作成・保存する義務があります。
 

受領者の確認義務（第30条）

個人データの保存期間

上記の記録は、原則として3年間保存する必要があります。

例外規定

上記の規定は、個人データの不正な流通の防止が目的であることから、一般的なビジネスの実態に配慮して、次のような例外規定があります。
 

1. １．本人との契約等に基づいて提供した場合は、契約書での記録で代替できる。
2. ２．反復継続して提供する場合は、包括的な記録でよい。
3. ３．次のような場合などは、記録義務はかからない。

 

外国にある第三者への提供

次の場合は、個人データを外国にある第三者に提供できます（第28条1項）。
 

 
なお、本人の同意を得る際は、参考となるべき情報を提供する必要があります（第28条２項）。
 

【参考資料】:個人情報保護法（e-GOV）

【参考資料】:個人情報保護法の基本（個人情報保護委員会）

違反した場合の罰則は厳しい！？
リスクは？

個人情報保護法に
違反した場合の刑事罰

個人情報を不正利用した場合：
1年以下の拘禁刑または
50万円以下の罰金

※個人情報取扱事業者、その従業者、元従業員が業務に関して取り扱った個人情報データベース等（その全部または一部を複製、または加工したものを含む）を、自己もしくは第三者の不正な利益を図る目的で提供、または盗用した場合、刑事罰として1年以下の拘禁刑または50万円以下の罰金が科される可能性があります（法第179条）。

法人に対する両罰規定
（個人情報の不正利用）：
1億円以下の罰金

※法人の代表者、法人、代理人、使用人、その他の従業者が、法人または人の業務に関して罰則の対象となる行為を行なった場合、両罰規定により行為者に加えて法人にも罰金刑が科される可能性があります（法第184条）。
 

【参考資料】:個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。（個人情報保護委員会）

民事責任（損害賠償請求）

個人情報の持ち主本人が損害を受けた場合、民法上の不法行為として、個人情報取扱事業者に対して損害賠償請求をすることができます。

企業が直面する社会的信用・
ブランドイメージ喪失のリスク

個人情報保護委員会は、個人情報保護法に違反した事実を公表することができます。

自社が「個人情報の第三者提供」で不正を行なったことがメディアで取り上げられ、SNSなどで情報が拡散されてしまうと、これまで築いてきた社会的信用やブランドイメージが失われ、顧客離れや取引先からの取引停止など、甚大な損害を被ってしまう可能性があります。

個人情報取扱事業者は、個人情報の取り扱いについては十分に注意するべきです。

実務上で企業が注意するべき
ポイント

同意取得での曖昧さを回避

「包括的同意」や「利用規約に含めた同意」は無効とされる可能性があります。

そのため、個人情報の提供先・目的・項目などについては具体的に示しておく必要があります。

委託先・提供先の管理体制を
確認

個人情報の提供先や委託先で情報漏えいが起きた場合、提供元にも責任がおよぶ可能性があります。

個人情報取扱事業者としては、提供先や委託先が適切な安全管理措置を講じているか確認する義務と責任があります。

保有個人データに関する事項の公表・開示・訂正等

保有する個人データに関して、個人情報取扱事業者は次の事項について、ホームページに公表するなどして、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）にしておく必要があります（第32条）。

保有個人データに関する事項の公表

• 当該事業者の氏名または名称、住所、
  法人の代表者名
• すべての保有個人データの利用目的
• 請求に応じる手続き
• 安全管理のために講じた措置
  （公表等により支障をおよぼす
  おそれがあるものを除く）
• 苦情の申出先　など

開示・訂正等

• 本人から情報開示請求をされた場合は、
  原則本人に開示する。（第33条）
• 本人からの請求があった場合、
  その保有個人データの内容に
  誤りがあれば、訂正・追加・削除をする。（第34条）
• 利用目的の範囲を超えて利用されている、不適正な利用がされている、不正の手段で取得されているといった場合は利用停止
  または消去をする。（第35条1・2項）
• 同意なく第三者に提供されている場合
  などでは、第三者提供を停止する。
  （第35条3・4項）
• 利用する必要がなくなった場合、
  一定の漏えい等の事案が発生した場合、
  本人の権利もしくは正当な利益が
  害されるおそれがある場合などでは、
  本人の権利・利益の侵害を防止するために必要な限度で、利用停止、消去、
  第三者提供の停止をする。
  （第35条5・6項）

プライバシーポリシーの整備

個人情報の収集・利用範囲、保管、開示請求などの目的や、第三者提供の有無などの方針について自社のプライバシーポリシーで明記する必要があります。

また、法律の改正内容に応じて随時更新していく体制を整備しておくことも大切です。
 

個人情報の取り扱いで
お困りの場合は弁護士に相談を！

個人情報の第三者提供は、企業活動において不可欠な場面もあります。

その際、個人情報取扱事業者としては、本人の権利保護と法令遵守が最優先となります。
 

 
これらに不安や疑問がある場合は、まずは一度、早急に弁護士に相談・依頼されることをおすすめします。

弁護士法人みらい総合法律事務所は全国対応で、随時、無料相談を行なっています（事案によりますので、お問い合わせください）。
 

 
さらに、いつでも相談・依頼できる顧問弁護士についてのご相談もお受けしています。
 

 
個人情報の第三者提供での法的問題でお困りの場合は、まずは一度、気軽にご相談ください（秘密厳守）。