2σ Guide

第三者提供と同意を
企業法務で整理する

個人データを外部へ提供する前に、本人同意の要否、委託・共同利用・事業承継、外国提供、個人関連情報、確認・記録義務を一体で確認します。

5段階 第三者提供の判定順序
5類型 同意不要例外の主要分類
3年 通常記録の保存期間の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

第三者提供と同意を 企業法務で整理する

個人データを外部へ提供する前に、本人同意の要否、委託・共同利用・事業承継、外国提供、個人関連情報、確認・記録義務を一体で確認します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
第三者提供と同意を 企業法務で整理する
個人データを外部へ提供する前に、本人同意の要否、委託・共同利用・事業承継、外国提供、個人関連情報、確認・記録義務を一体で確認します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 第三者提供と同意を 企業法務で整理する
  • 個人データを外部へ提供する前に、本人同意の要否、委託・共同利用・事業承継、外国提供、個人関連情報、確認・記録義務を一体で確認します。

POINT 1

  • 第三者提供と同意の全体像をつかむ
  • 同意の要否を判断する前に、情報の種類、提供先、例外、記録を順に確認します。
  • 第三者提供と同意は文言作成だけでは足りません
  • 情報の種類
  • 相手方の位置付け

POINT 2

  • 第三者提供と同意で押さえる基本用語
  • 個人情報、個人データ、第三者、本人、個人関連情報の違いを整理します。
  • 第三者提供と同意では、まず用語をそろえる必要があります。
  • 特に個人データ、要配慮個人情報、個人関連情報の行は、同意・オプトアウト・記録義務へ直結します。
  • 次の割合の比較は、実務で確認負荷が高くなりやすい情報類型の相対的な注意度を示しています。

POINT 3

  • 第三者提供と同意の基本原則と判断順序
  • 1. 対象情報は個人データか:顧客DB、会員リスト、採用候補者管理表、従業員台帳など、検索可能なデータベースを構成するかを確認します。
  • 2. 相手は第三者か:同一法人内の共有か、法人格の異なる外部・グループ会社・広告事業者・海外子会社への提供かを確認します。
  • 3. 委託・事業承継・共同利用ではないか:この三類型は、要件を満たせば第三者提供として扱われない場合があります。
  • 4. 同意不要例外に該当するか:法令、生命・身体・財産、公衆衛生、行政協力、学術研究の例外を、根拠資料とともに確認します。
  • 5. 同意・記録・契約を設計する:提供先、データ項目、利用目的、提供方法、撤回窓口、ログ、第三者提供記録、契約条項を整えます。

POINT 4

  • 第三者提供と同意が不要になる例外と三つの整理
  • 同意不要となる典型ですが監督義務が残ります
  • M&Aや組織再編では目的の連続性を見ます
  • グループ会社や共同事業で使いやすい一方、要件が必要です
  • 法令例外、委託、事業承継、共同利用を分けて確認します。

POINT 5

  • オプトアウト、外国第三者提供、個人関連情報の注意点
  • 海外親会社・海外子会社
  • グループ内でも法人格が異なり、外国にある第三者への提供として追加の情報提供や同意が問題になります。
  • 広告配信・マーケティング連携
  • Cookie、広告ID、閲覧履歴、DMP、CDP、リターゲティングでは個人関連情報と同意管理が交錯します。

POINT 6

  • 第三者提供と同意に関する確認・記録義務
  • 1. データの流れを整理します:誰のどの個人データを、どの提供先へ、何のために、どの方法で渡すかを事業部門と確認します。
  • 2. 同意・例外・契約を確認します:本人同意、委託、共同利用、事業承継、法令例外、外国提供、個人関連情報のいずれで整理するかを記録します。
  • 3. 授受の証跡を残します:提供日、提供先、データ項目、件数、提供方法、承認者、暗号化やアクセス制御の有無を保存します。
  • 4. 撤回・停止・開示に備えます:本人からの照会、同意撤回、提供停止、記録開示、苦情、漏えい疑義に対応できるようにします。

POINT 7

  • 第三者提供と同意の取得設計
  • 提供先、データ項目、利用目的、外国提供、撤回方法、ログを同時に設計します。
  • 有効な同意取得では、本人が何に同意するのかを合理的に判断できる情報を示す必要があります。
  • 列は、要素名、実務上の意味、確認の視点に分かれています。
  • 読者は、同意文言を短くするよりも、本人が提供先・データ項目・目的・撤回方法を理解できることが重要だと読み取ってください。

POINT 8

  • 第三者提供と同意の実務類型別チェック
  • 広告、採用、労務、M&A、研究、取引先管理などで判断軸を変えます。
  • 類型ごとに、委託で整理できるか、同意が必要か、共同利用や外国提供が問題になるかを切り分けます。
  • 広告、海外親会社、医療・研究、内部通報の行は、複数の規律が重なりやすい点に注意します。

まとめ

  • 第三者提供と同意を 企業法務で整理する
  • 第三者提供と同意の全体像をつかむ:同意の要否を判断する前に、情報の種類、提供先、例外、記録を順に確認します。
  • 第三者提供と同意で押さえる基本用語:個人情報、個人データ、第三者、本人、個人関連情報の違いを整理します。
  • 第三者提供と同意の基本原則と判断順序:同意を取る前に、そもそも第三者提供かどうかを段階的に判定します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

第三者提供と同意の全体像をつかむ

同意の要否を判断する前に、情報の種類、提供先、例外、記録を順に確認します。

第三者提供と同意は、個人データを会社の外へ出す前に、対象データ、提供先、法的根拠、本人への説明、記録を順に確認する実務です。単にプライバシーポリシーへ記載したか、同意ボタンを押してもらったかだけでは足りません。

このページでは、第三者提供と同意の検討範囲を最初に一覧化します。なぜ重要かというと、委託、事業承継、共同利用、オプトアウト、外国提供、個人関連情報、確認・記録義務が同じ施策の中で同時に問題になりやすいからです。読者は、最初の分岐で何を調べるべきか、どの資料を残すべきかを読み取ってください。

第三者提供と同意は文言作成だけでは足りません

実務では、データの流れの設計、利用目的管理、契約管理、同意管理、記録管理、委託先管理、越境移転管理、本人対応、内部統制を横断して確認します。

次の一覧は、第三者提供と同意を検討するときの主要な確認軸を示しています。読者にとって重要なのは、同意の要否だけを先に決めず、情報の種類、相手方の位置付け、例外、記録の順に確認する点です。左から右へ読むと、検討漏れが起きやすい領域を把握できます。

確認1

情報の種類

個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報、仮名加工情報、匿名加工情報のどれに当たるかを確認します。

確認2

相手方の位置付け

親会社、子会社、グループ会社、販売代理店、共同研究先、広告事業者、海外子会社も、同一法人でない限り第三者になり得ます。

確認3

例外と代替整理

委託、事業承継、共同利用、法令例外、生命・身体・財産保護、公衆衛生、行政協力、学術研究の要件を確認します。

確認4

証跡と本人対応

誰が、いつ、どの文面に、どの方法で同意したか、提供・受領記録や撤回対応まで後から説明できる状態にします。

基準このページは、2026年6月7日時点で公表されている個人情報保護法、個人情報保護委員会のガイドライン、Q&A、オプトアウト届出制度、外国にある第三者への提供、確認・記録義務に関する資料を前提にした一般的な情報です。
Section 01

第三者提供と同意で押さえる基本用語

個人情報、個人データ、第三者、本人、個人関連情報の違いを整理します。

第三者提供と同意では、まず用語をそろえる必要があります。同じ顧客情報でも、個人情報か個人データか、要配慮個人情報を含むか、個人関連情報として外部IDと連携するかによって、同意や記録の設計が変わるためです。

次の比較表は、主要な用語と実務上の注意点を整理したものです。読者にとって重要なのは、列ごとに「何を意味するか」と「第三者提供でどこに影響するか」を分けて読むことです。特に個人データ、要配慮個人情報、個人関連情報の行は、同意・オプトアウト・記録義務へ直結します。

用語意味第三者提供と同意での読み方
個人情報生存する個人に関する情報で、氏名等により特定個人を識別できるもの、または個人識別符号が含まれるものです。メールアドレス、電話番号、顧客ID、顔画像、相談内容、行動履歴も、他の情報と容易に照合できる場合は対象になり得ます。
個人データ個人情報データベース等を構成する個人情報です。第三者提供規制の中心です。CRM、会員DB、従業員台帳、名刺管理、注文履歴などから外部へ出す場面で確認します。
保有個人データ事業者が開示、訂正、利用停止等を行う権限を持つ個人データです。第三者提供記録の開示請求、同意撤回、停止請求、苦情対応と結びつきます。
要配慮個人情報人種、信条、社会的身分、病歴、犯罪歴、犯罪被害など、特に配慮が必要な情報です。取得時の本人同意、第三者提供、オプトアウト不可、アクセス制御、漏えい影響評価で慎重に扱います。
個人関連情報個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない生存する個人に関する情報です。Cookie ID、広告ID、端末ID、閲覧履歴などが、提供先で個人データ化される場合に規律が問題になります。
仮名加工情報・匿名加工情報識別性や復元可能性を下げるために加工された情報です。単なるマスキングやID置換だけで自由に提供できるわけではありません。法定要件を満たすかを確認します。
本人個人情報によって識別される特定の個人です。顧客、従業員、応募者、取引先担当者、個人事業主、専門職の情報も、識別できれば本人情報になります。
第三者本人と当該事業者以外の者です。法人格が異なるグループ会社、広告事業者、販売代理店、共同研究先、海外子会社も第三者になり得ます。

次の割合の比較は、実務で確認負荷が高くなりやすい情報類型の相対的な注意度を示しています。棒の長さが長いほど、同意、記録、アクセス管理、本人対応を厚く検討する必要があります。読者は、要配慮個人情報と個人関連情報が、通常の連絡先情報より慎重な確認を要する点を読み取ってください。

要配慮個人情報
95%
個人データ
85%
個人関連情報
70%
公開連絡先
45%
統計情報
25%
数値は法令上の割合ではなく、確認負荷の目安として整理したものです。
Section 02

第三者提供と同意の基本原則と判断順序

同意を取る前に、そもそも第三者提供かどうかを段階的に判定します。

第三者提供と同意の原則は、個人情報取扱事業者が、あらかじめ本人の同意を得ないで個人データを第三者へ提供できないという点にあります。提供後に同意を取っても、過去の提供が当然に適法化されるわけではありません。

次の判断の流れは、第三者提供に当たるかを5段階で確認するものです。順番が重要です。対象情報、相手方、委託等の除外、例外、同意・記録の順に進めることで、同意文言だけを先に作ってデータ実態と合わなくなるリスクを抑えられます。

第三者提供と同意の5段階判断

対象情報は個人データか

顧客DB、会員リスト、採用候補者管理表、従業員台帳など、検索可能なデータベースを構成するかを確認します。

相手は第三者か

同一法人内の共有か、法人格の異なる外部・グループ会社・広告事業者・海外子会社への提供かを確認します。

委託・事業承継・共同利用ではないか

この三類型は、要件を満たせば第三者提供として扱われない場合があります。名称ではなく実態を見ます。

同意不要例外に該当するか

法令、生命・身体・財産、公衆衛生、行政協力、学術研究の例外を、根拠資料とともに確認します。

同意・記録・契約を設計する

提供先、データ項目、利用目的、提供方法、撤回窓口、ログ、第三者提供記録、契約条項を整えます。

同意の基本的な考え方

本人の同意は、本人が示された取扱方法を理解し、受け入れる意思表示をすることを意味します。提供される個人データ、提供先または提供先の範囲、提供先の利用目的、提供方法、外国提供の有無、撤回・停止の方法、ログの保存が分かる状態にする必要があります。

注意「同意しない場合は返信してください」と伝えて返信がない状態、Webページへ掲載しただけの状態、契約書の末尾に小さく書いただけの状態は、本人が認識し承諾したと説明しにくい可能性があります。
Section 03

第三者提供と同意が不要になる例外と三つの整理

法令例外、委託、事業承継、共同利用を分けて確認します。

本人同意が不要となる場面は、便利な抜け道ではなく、要件が合うときだけ使える整理です。例外の根拠を残せないまま提供すると、後日の本人対応、当局対応、契約交渉で説明が難しくなります。

次の比較表は、本人同意を要しない主な例外を並べたものです。左列で例外類型を確認し、中央列で典型場面を把握し、右列で記録すべき判断材料を読み取ってください。例外を使うほど、提供範囲を最小化し、理由を記録することが重要です。

例外類型典型場面確認すべきこと
法令に基づく場合裁判所命令、法令上の報告義務、税務調査、監督官庁対応などです。任意の依頼や慣行では足りない場合があります。根拠条文、提出範囲、提出先、提出方法を記録します。
生命・身体・財産の保護急病、災害、安否確認、重大事故、詐欺被害防止などです。必要性、緊急性、同意取得が困難な事情、提供範囲の最小化を記録します。
公衆衛生・児童の健全育成感染症対応、児童保護、虐待防止などが問題になります。本人同意が困難で、目的達成に特に必要かを確認します。
国・地方公共団体等への協力行政機関の事務遂行への協力で、同意取得が支障となる場合です。照会の根拠、協力内容、提供範囲、担当部署を記録します。
学術研究に関する例外大学、研究機関、企業研究で一定の要件を満たす場合です。研究目的、本人利益への影響、共同研究先、倫理審査、安全管理を確認します。

次の比較一覧は、第三者提供として扱われない可能性がある三つの仕組みを整理したものです。名称だけでは足りず、実態が要件に合っているかが重要です。読者は、委託は監督義務、共同利用は公表事項、事業承継は承継後の利用目的が焦点になる点を読み取ってください。

委託

同意不要となる典型ですが監督義務が残ります

配送、決済、コールセンター、クラウド、給与計算など、利用目的の達成に必要な範囲で業務を任せる場面です。委託契約、安全管理、再委託、監査、事故時報告が重要です。

事業承継

M&Aや組織再編では目的の連続性を見ます

合併、会社分割、事業譲渡などで事業が承継される場合です。デューデリジェンス段階では開示範囲を絞り、承継後は元の利用目的の範囲を確認します。

共同利用

グループ会社や共同事業で使いやすい一方、要件が必要です

共同利用するデータ項目、共同利用者の範囲、利用目的、管理責任者などを本人に通知または容易に知り得る状態に置く必要があります。

Section 04

オプトアウト、外国第三者提供、個人関連情報の注意点

通常の第三者提供規制に上乗せされる実務論点を整理します。

第三者提供と同意では、オプトアウト、外国にある第三者への提供、個人関連情報が、通常の同意設計に上乗せされる論点になります。広告、Cookie、海外クラウド、海外親会社、海外サポートでは特に見落としやすい領域です。

次の一覧は、上乗せで検討すべき三つの領域をまとめています。それぞれ要件や禁止される範囲が異なるため、同じ「同意なし」や「外部送信」として一括処理しないことが重要です。読者は、届出、情報提供、提供先での個人データ化という違いを読み取ってください。

1

オプトアウトによる第三者提供

本人の事前同意を不要にする例外的制度ですが、要配慮個人情報、不正取得データ、オプトアウトで受領したデータの再提供などには使えません。本人が容易に知り得る状態と個人情報保護委員会への届出が必要です。

届出対象外データ確認
2

外国にある第三者への提供

国内の第三者提供規制に加えて、外国第三者提供の同意、相当措置、十分性認定などを検討します。外国子会社、海外親会社、海外クラウド、海外サポートは法人格と所在国を確認します。

越境移転情報提供
3

個人関連情報の第三者提供

Cookie ID、広告ID、端末ID、閲覧履歴などが、提供先で個人データとして取得されることが想定される場合に問題になります。提供元と提供先の役割を分けて確認します。

Cookie広告ID

次のリスク一覧は、特に追加確認が必要になりやすい提供を整理しています。赤系の枠は注意を促す領域を示し、項目が多いほど、同意文言だけでなく契約、システム、ログ、本人対応まで確認する必要があります。読者は、海外・広告・センシティブ・大規模データが重なるほど高リスクになる点を読み取ってください。

海外親会社・海外子会社

グループ内でも法人格が異なり、外国にある第三者への提供として追加の情報提供や同意が問題になります。

広告配信・マーケティング連携

Cookie、広告ID、閲覧履歴、DMP、CDP、リターゲティングでは個人関連情報と同意管理が交錯します。

要配慮個人情報を含む提供

健康診断、病歴、障害、メンタルヘルス、犯罪歴などは、取得・提供・オプトアウト不可の観点で慎重に扱います。

大規模な名簿・リスト提供

違法取得、取得経緯不明、本人同意不明、再提供の連鎖が起きやすいため、確認・記録を厚くします。

Section 05

第三者提供と同意に関する確認・記録義務

提供側と受領側の記録を分け、本人対応や監査に備えます。

第三者提供と同意では、提供する側と受ける側の双方で、確認・記録義務が生じる場合があります。これは名簿流通や出所不明データを追跡できるようにするためであり、単なる書類作成ではありません。

次の比較表は、提供者側と受領者側で残すべき記録の違いを示しています。読者にとって重要なのは、誰に渡したかだけでなく、誰から受け取ったか、どの根拠で受け取ったかも後から説明できる状態にする点です。列ごとに、主体、記録内容、保存上の注意を確認してください。

主体主な記録事項保存・開示での注意
提供者側提供年月日、受領者、本人を識別する事項、提供した個人データ項目、本人同意または例外根拠などです。本人から第三者提供記録の開示を求められる可能性があります。提供範囲を後から特定できる形で残します。
受領者側提供者の名称、住所、代表者、取得経緯、第三者提供の根拠、同意証跡、データ項目、リスク判定などです。相手を信用しただけでは足りない場合があります。取得経緯や同意の説明資料を紐付けて保管します。
双方共通契約書、同意画面、プライバシーポリシー、申請記録、システムログ、授受台帳などです。記録の所在、承認者、保存期限、本人請求時の検索性を管理します。

次の時系列は、記録管理をどのタイミングで整えるかを表しています。上から下へ進むほど、企画段階から提供後の本人対応へ移ります。読者は、提供後に慌てて記録を探すのではなく、提供前から保存先と責任者を決める必要がある点を読み取ってください。

企画時

データの流れを整理します

誰のどの個人データを、どの提供先へ、何のために、どの方法で渡すかを事業部門と確認します。

提供前

同意・例外・契約を確認します

本人同意、委託、共同利用、事業承継、法令例外、外国提供、個人関連情報のいずれで整理するかを記録します。

提供時

授受の証跡を残します

提供日、提供先、データ項目、件数、提供方法、承認者、暗号化やアクセス制御の有無を保存します。

提供後

撤回・停止・開示に備えます

本人からの照会、同意撤回、提供停止、記録開示、苦情、漏えい疑義に対応できるようにします。

Section 06

第三者提供と同意の取得設計

提供先、データ項目、利用目的、外国提供、撤回方法、ログを同時に設計します。

有効な同意取得では、本人が何に同意するのかを合理的に判断できる情報を示す必要があります。提供先が広すぎる、利用目的が抽象的すぎる、画面とプライバシーポリシーが矛盾する、ログが残らないといった設計は、後で問題になりやすいです。

次の表は、同意文言に含めるべき基本要素を整理しています。列は、要素名、実務上の意味、確認の視点に分かれています。読者は、同意文言を短くするよりも、本人が提供先・データ項目・目的・撤回方法を理解できることが重要だと読み取ってください。

要素実務上の意味確認の視点
提供元どの会社が提供するのかを示します。グループ名ではなく、実際に提供する法人を特定します。
提供先具体的名称、または本人が理解できる提供先カテゴリーを示します。「当社が必要と認める第三者」だけでは広すぎる可能性があります。
提供される個人データ氏名、連絡先、購入履歴、利用履歴、問い合わせ内容などです。データ項目を本人が予測できる程度に書きます。
提供先の利用目的提供先が何のために利用するのかを示します。自社の利用目的と提供先の利用目的を混同しないようにします。
提供方法電子データ送信、API連携、書面、クラウド共有、データルームなどです。継続的なAPI連携や閲覧権限付与も確認します。
継続性一回限りか、継続的・反復的かを示します。将来の提供や自動連携がある場合は、範囲を説明します。
外国提供外国にある第三者への提供の有無、国、情報提供事項を示します。所在国、制度、提供先の措置を確認します。
任意性同意しない場合の影響を示します。サービス利用可否、契約履行への影響を過度に広く書かないようにします。
撤回・停止将来の提供停止や同意撤回の方法を示します。窓口、手続、反映時期、例外を管理します。
問い合わせ窓口本人が連絡できる部署・方法を示します。本人対応の記録と連動させます。
版管理どの文面に同意したかを後から特定します。文面バージョン、日時、IP、アカウント、取得画面を保存します。

次の一覧は、同意取得の場面ごとの注意点を示しています。画面、書面、契約、未成年者、従業員で確認事項が異なるため、同じ文言を使い回すのではなく、本人の理解可能性と任意性を中心に読み分けてください。

1

チェックボックス等による同意

あらかじめチェック済みにせず、本人が能動的に確認したことをログで残します。プライバシーポリシーと同意文言の整合も確認します。

能動性ログ
2

書面・契約での同意

契約条項の中に埋もれさせず、第三者提供の範囲を明確にします。申込書や同意書ではデータ項目と提供先を具体化します。

明確性版管理
3

未成年者・判断能力が十分でない本人

本人の年齢、サービス内容、情報の性質、親権者等の関与を検討します。個別事情で必要な対応は専門家へ相談する必要があります。

保護説明
4

従業員同意

雇用関係では任意性が問題になりやすいため、就業規則、社内規程、労務上の必要性、安全配慮、海外親会社への共有を丁寧に整理します。

任意性労務
Section 07

第三者提供と同意の実務類型別チェック

広告、採用、労務、M&A、研究、取引先管理などで判断軸を変えます。

実務では、同じ第三者提供と同意でも、営業、配送、決済、広告、採用、労務、内部通報、研究、取引先データベースで確認すべき点が変わります。類型ごとに、委託で整理できるか、同意が必要か、共同利用や外国提供が問題になるかを切り分けます。

次の比較表は、よくある実務類型ごとの着眼点を整理したものです。左列で場面を特定し、中央列で主な整理を確認し、右列で追加確認を読み取ってください。広告、海外親会社、医療・研究、内部通報の行は、複数の規律が重なりやすい点に注意します。

実務類型基本整理追加確認
顧客データをグループ会社で共有する法人格が異なるため、共同利用、同意、委託のいずれで整理するかを確認します。共同利用事項の公表、提供先範囲、利用目的、責任者を確認します。
配送会社・決済会社・コールセンターに渡す利用目的達成に必要な委託として整理できる場合があります。委託契約、安全管理、再委託、事故時報告、委託先監督を確認します。
広告配信・マーケティング連携個人関連情報、Cookie、広告ID、個人データ化の有無を確認します。同意管理、提供先の取得態様、プラットフォーム契約、外部送信を確認します。
採用候補者情報を共有する人材紹介、採用管理、グループ採用で第三者性や同意が問題になります。候補者への説明、提供先、保存期間、要配慮情報、推薦者情報を確認します。
従業員情報を海外親会社に共有するグループ内でも外国第三者提供や労務上の任意性が問題になります。所在国、利用目的、アクセス権限、評価・懲戒への利用、従業員説明を確認します。
内部通報・不祥事調査法令例外、財産保護、訴訟対応、外部専門家への提供が問題になります。調査目的、提供範囲、秘密保持、証拠保全、本人対応を確認します。
医療・ヘルスケア・研究要配慮個人情報と学術研究例外が問題になります。倫理審査、同意、匿名加工、委託、共同研究契約を確認します。
取引先担当者データベース法人取引でも担当者個人を識別できれば個人情報になり得ます。利用目的、名刺管理、営業共有、外部SaaS、第三者提供の有無を確認します。
Section 08

第三者提供と同意を契約・公表文へ落とし込む

委託契約、第三者提供同意、外国提供、共同利用、個人関連情報の文言を整えます。

第三者提供と同意の契約実務では、条項を置くだけで同意義務が消えるわけではありません。契約は、データ項目、利用目的、再委託、秘密保持、安全管理、事故時報告、監査、削除、本人対応を支える道具として使います。

次の一覧は、契約書や公表文で整えるべき主要な文言類型を示しています。読者にとって重要なのは、各文言が代替するものではなく、実際の同意取得、共同利用公表、委託先監督、個人関連情報の確認と接続する点です。項目ごとに、どの実務資料へ反映するかを読み取ってください。

1

委託契約の個人データ条項

業務遂行に必要な範囲だけで取り扱い、目的外利用、無断第三者提供、漏えいを禁止します。安全管理、従業者監督、再委託制限、事故時報告を含めます。

委託監督
2

第三者提供同意文言

提供先、提供データ項目、提供先の利用目的、提供方法、停止方法を示し、本人が理解できる形で同意を取得します。

同意停止
3

外国第三者提供の同意文言

所在国、個人情報保護制度、提供先が講ずる措置、提供データ項目、利用目的、安全管理を示します。

外国提供情報提供
4

共同利用公表文

共同利用する個人データ項目、共同利用者の範囲、利用目的、管理責任者の名称・住所・代表者を整えます。

共同利用公表
5

個人関連情報提供条項

Cookie ID、広告ID、端末情報、閲覧履歴等を外部事業者へ提供し、提供先で個人データ化される場合の同意確認を定めます。

広告Cookie
Section 09

第三者提供と同意を社内体制へ組み込む

役割分担、チェックリスト、内部監査、本人対応を一つの運用にします。

社内統制では、第三者提供と同意を法務だけの作業にしないことが重要です。事業部門、法務、プライバシー担当、情報セキュリティ、購買、人事、M&A、内部監査、経営陣がそれぞれの役割を持ちます。

次の責任分担表は、第三者提供と同意を運用する際の主な役割を示しています。読者にとって重要なのは、左列の担当が固定ではなく、案件のリスクに応じて関与度が変わる点です。右列を読むと、どの部署に何を確認すべきかが分かります。

役割主な責任
事業部門データ利用目的、提供先、施策内容、必要性を説明します。
法務担当・企業内弁護士法的根拠、同意文言、契約、利用目的、リスク判断を確認します。
外部専門家高リスク案件、外国移転、M&A、不祥事、訴訟、行政対応で助言を受ける対象になります。
個人情報保護・プライバシー担当ガイドライン適合性、本人対応、社内規程、教育、台帳管理を担います。
情報セキュリティ担当アクセス制御、暗号化、ログ、クラウド、インシデント対応を担います。
コンプライアンス担当社内ルール、研修、通報対応、規制当局対応を確認します。
内部監査担当運用実態、記録、委託先監督、例外判断を監査します。
購買・委託管理部門委託先審査、契約締結、再委託管理を担います。
人事・労務担当従業員情報、応募者情報、労働法、就業規則を確認します。
M&A法務・経営企画デューデリジェンス、事業承継、PMI、グループ共有を確認します。
経営陣・取締役重大リスクの承認、ガバナンス、説明責任を担います。

次の一覧は、提供前、提供後、プライバシーポリシー更新時に確認すべき事項をまとめています。順番に意味があり、提供前は根拠、提供後は記録と撤回、更新時は表示と同意再取得を確認します。読者は、自社の申請手順にこの順序を組み込むことを読み取ってください。

提供前

データと根拠を確認します

対象情報が個人データか、提供先が第三者か、委託・事業承継・共同利用か、例外か、同意が必要か、外国提供や要配慮個人情報がないかを確認します。

提供後

記録と停止対応を管理します

提供日、提供先、データ項目、同意文面、ログ、契約、撤回・停止・苦情対応、削除条件を台帳で管理します。

表示更新

本人への説明をそろえます

プライバシーポリシー、申込フォーム、契約書、同意画面、社内規程、採用サイト、従業員説明文書の整合を確認します。

Section 10

第三者提供と同意でよくある誤解を避ける

表示、グループ会社、委託、匿名化、クラウド、海外子会社の誤解を整理します。

第三者提供と同意では、よくある誤解を早めに潰すことが、法令違反や事業停止の予防につながります。誤解は、プライバシーポリシー、グループ会社、委託、匿名化、クラウド、海外子会社で特に起きやすいです。

次の注意点一覧は、誤解されやすい論点と正しい確認の方向を示しています。各項目は、結論を一律に決めるものではなく、個別事情で確認すべき入口です。読者は、単純な言い換えで処理せず、実態と証跡を確認する必要があると読み取ってください。

プライバシーポリシーに書けば同意になるわけではありません

表示は重要ですが、本人が第三者提供の範囲を理解し、承諾したといえる設計とログが必要です。

グループ会社でも第三者になり得ます

資本関係やブランド統一があっても、法人格が別であれば第三者性を確認します。

委託契約があっても実態次第です

受託者が自社目的で利用する場合や委託範囲を超える場合は、委託だけで整理できない可能性があります。

匿名化すれば自由とは限りません

匿名加工情報の法定要件を満たすか、単なるマスキングやID置換かを確認します。

同意があっても何でもできるわけではありません

利用目的、安全管理、目的外利用、不適正利用、本人対応、信義則上の問題を別途確認します。

外部クラウド利用が常に第三者提供とは限りません

クラウド事業者が個人データを取り扱わない態様か、委託か、外国提供かをサービス実態で確認します。

Section 11

第三者提供と同意に関するFAQ

よくある疑問を一般的な制度説明として整理します。個別事案の結論は資料により変わります。

第三者提供と同意で最初に確認すべきことは何ですか。

一般的には、対象情報が個人データか、提供先が第三者か、委託・事業承継・共同利用や法令例外で整理できるかを順に確認するとされています。ただし、データの性質、提供先、契約、外国関係、本人への影響で結論が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

親会社に顧客情報を渡す場合、同意は必要ですか。

一般的には、親会社と子会社は法人格が異なるため、第三者提供として同意や共同利用などの検討が必要になる可能性があります。ただし、委託、共同利用、事業承継、外国提供の有無などで整理は変わります。具体的な対応は、資料を整理したうえで専門家へ相談する必要があります。

業務委託先に顧客情報を渡す場合、同意は必要ですか。

一般的には、利用目的の達成に必要な範囲で業務を委託する場合、第三者提供としては扱われない方向で整理されることがあります。ただし、委託範囲、受託者の利用目的、再委託、安全管理、外国関係によって判断が変わります。具体的には契約と運用を確認する必要があります。

プライバシーポリシーに書けば同意になりますか。

一般的には、プライバシーポリシーへの記載だけで、常に第三者提供の同意になるわけではないとされています。本人が何に同意するかを理解し、承諾したと説明できる取得方法とログが重要です。個別の画面設計や文言は専門家へ相談する必要があります。

返信がなければ同意とできますか。

一般的には、単なる沈黙や未回答だけを同意と扱うことはリスクが高いとされています。ただし、取引経緯や本人への説明状況などで評価が変わる可能性があります。具体的な同意取得方法は、資料を整理したうえで専門家へ相談する必要があります。

名刺情報は個人情報ですか。

一般的には、名刺情報でも特定の個人を識別できるため個人情報に該当し得ます。さらに名刺管理システムや営業DBに登録されると個人データとして問題になりやすいです。利用目的や第三者提供の有無によって対応が変わります。

共同利用なら同意は不要ですか。

一般的には、共同利用の要件を満たす場合、本人同意なしで整理できることがあります。ただし、共同利用するデータ項目、共同利用者の範囲、利用目的、管理責任者などを本人に通知または容易に知り得る状態に置く必要があります。要件不備がある場合は結論が変わります。

オプトアウトを使えば同意なしで自由に提供できますか。

一般的には、オプトアウトは例外的な制度であり、要配慮個人情報や不正取得データなどには使えません。本人が容易に知り得る状態や個人情報保護委員会への届出などの要件もあります。具体的な可否は専門家へ確認する必要があります。

海外クラウドに保存する場合、外国第三者提供になりますか。

一般的には、クラウド事業者が個人データを取り扱う実態があるか、外国にある第三者への提供に当たるかを確認します。単なる保管場所だけでは結論が決まりません。サービス仕様、アクセス権限、サポート体制、契約内容によって判断が変わります。

Cookieを広告会社に送る場合も同意が必要ですか。

一般的には、Cookie IDや広告IDなどの個人関連情報が提供先で個人データとして取得されることが想定される場合、同意確認等が問題になります。広告配信、効果測定、外部ID連携の仕組みによって結論が変わるため、実装と契約を確認する必要があります。

従業員情報を士業専門家に渡す場合は第三者提供ですか。

一般的には、給与計算、社会保険、税務、労務相談などの委託や専門家対応として整理される場合があります。ただし、利用目的、委託範囲、守秘義務、外国関係、本人への説明で判断が変わります。具体的な取扱いは専門家へ相談する必要があります。

警察や裁判所から照会があれば同意なく提供できますか。

一般的には、法令に基づく場合など本人同意が不要となる場面があります。ただし、任意の依頼、照会の根拠、提出範囲、本人への影響で判断が変わります。提供前に根拠資料と範囲を確認し、必要に応じて専門家へ相談する必要があります。

同意を撤回されたら過去の提供も違法になりますか。

一般的には、同意撤回は将来の提供停止として問題になることが多いです。ただし、同意取得方法、撤回時の説明、既に完了した契約履行、法令上の保存義務などで対応が変わります。個別の取扱いは専門家へ確認する必要があります。

外部専門家に資料を渡す場合はどう考えますか。

一般的には、訴訟、監査、税務、労務、M&Aなどの目的や専門家の役割に応じて、委託、法令例外、秘密保持、契約上の必要性を確認します。ただし、資料の内容や本人への影響によって結論が変わるため、必要最小限の提供と記録が重要です。

第三者提供の記録はどの程度残す必要がありますか。

一般的には、提供日、提供先、データ項目、本人を識別する事項、同意または例外根拠、確認資料、承認者、保存期限を後から追えるように残すことが重要です。ただし、保存期間や記録項目は提供態様で変わるため、具体的には専門家へ相談する必要があります。

Guide

第三者提供と同意で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を7件表示しています。

Reference

第三者提供と同意の参考資料

第三者提供と同意の実務上の結論は、同意文言を作る前に、データの流れ、利用目的、提供先、例外、契約、記録、本人対応を一体で確認することです。高リスク案件では、広告、海外、要配慮個人情報、大規模データ、M&A、内部調査の論点が重なります。

次の重要ポイントは、最終確認で見るべき領域をまとめたものです。なぜ重要かというと、どれか一つが抜けるだけで、同意の有効性や説明責任が崩れる可能性があるからです。読者は、自社の案件に当てはめて不足資料を洗い出してください。

最終確認は、同意、例外、契約、記録、本人対応の5点です

個人データを外へ出す前に、本人へ何を説明したか、なぜ同意不要と判断したか、契約で何を制御したか、どの証跡を保存したか、本人から聞かれたときにどう説明するかを確認します。

参考資料

  • 個人情報保護法
  • 個人情報保護委員会 通則ガイドライン
  • 個人情報保護委員会 Q&A
  • 個人情報保護委員会 第三者提供時の確認・記録義務に関する資料
  • 個人情報保護委員会 オプトアウト届出制度に関する公表資料
  • 個人情報保護委員会 外国にある第三者への提供に関する資料