個人情報保護法19条は、同意や利用目的だけでは捉えきれないデータ利用の社会的危険を扱う規定です。名簿販売、公開情報の集約、採用、広告、AI、M&Aまで、企業が確認する要件と統制を整理します。
個人情報保護法19条は、同意や利用目的だけでは捉えきれないデータ利用の社会的危険を扱う規定です。
個人情報の使い方が、犯罪・差別・悪質勧誘などを助ける危険をどう見抜くかを先に押さえます。
不適正利用の禁止は、個人情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法で個人情報を利用することを禁じる考え方です。利用目的を公表している場合、本人から同意を得ている場合、公開情報を使う場合でも、利用方法が本人の権利利益を害する蓋然性を持つときは第19条の検討が必要になります。
次の重要ポイント一覧は、不適正利用の禁止がどの場面で問題になるかを表します。企業法務では、形式的な同意や契約だけで止まらず、どの情報が誰に渡り、どのような二次被害につながるかを読み取ることが重要です。
個人データや要配慮個人情報だけでなく、公開情報、名簿情報、採用応募情報、顧客情報、取引先担当者情報も、特定の個人を識別できる限り対象になります。
本人同意や公開情報由来であっても、提供先の違法利用が予見できる場合や、集約・検索可能化により差別や嫌がらせを誘発する場合があります。
営業、マーケティング、人事、情報システム、セキュリティ、内部監査、経営層が連携し、データ利用の入口で赤旗を止める体制が求められます。
このページでは、条文の要件、制度趣旨、違法・不当・助長・誘発・おそれの読み方、個人情報保護委員会の典型例、公開情報や名簿販売の事例、契約条項、部門別対応、M&A・AI利用、FAQまでを企業実務に引き寄せて整理します。
第19条を主体、客体、行為、禁止される方法、判断軸に分解します。
個人情報保護法19条は、個人情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法で個人情報を利用することを禁じています。短い条文ですが、名簿販売、反社会的勢力や犯罪グループへの情報流通、破産者情報のデータベース化、採用差別、違法商品の広告配信、AI・プロファイリング、委託、共同利用、第三者提供まで広く関係します。
次の要件整理表は、条文を実務の確認項目へ分解したものです。各列は審査時に見るべき論点を示しており、どの情報を誰がどの方法で利用し、どの危険を予見できるかを読み取ることが重要です。
| 要素 | 実務上の意味 | 確認する視点 |
|---|---|---|
| 主体 | 個人情報取扱事業者です。 | 企業、団体、学校、医療機関、士業事務所、NPO、個人事業主なども対象になり得ます。 |
| 客体 | 個人情報です。 | 個人データや要配慮個人情報に限らず、公開情報や取引先担当者情報も含まれます。 |
| 行為 | 個人情報の利用です。 | 取得後の社内利用、第三者提供、広告配信、検索可能化、外部API連携などを確認します。 |
| 禁止される方法 | 違法又は不当な行為を助長し、又は誘発するおそれがある方法です。 | 犯罪、差別、悪質勧誘、社会的排除、脅迫、晒し、違法広告への転用可能性を見ます。 |
| 判断軸 | 社会通念上の蓋然性、客観的事情、事業者の認識・予見可能性です。 | 相手方の説明、業態、苦情、報道、行政処分、再提供条件、本人への影響を確認します。 |
次の概念比較表は、第19条で混同されやすい個人情報、個人データ、要配慮個人情報、個人情報取扱事業者の違いを表します。概念ごとの広さを押さえると、公開情報や氏名・住所だけの名簿でも審査対象から外れないことを読み取れます。
| 概念 | 意味 | 第19条での注意点 |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名などにより特定の個人を識別できるもの、又は個人識別符号を含むものです。 | 住所、電話番号、メールアドレス、顔画像、購買履歴、位置情報、ID、採用応募情報なども該当し得ます。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。 | CRM、人事データベース、名簿ファイル、検索可能なExcel一覧などを通じて主要なリスクが生じます。 |
| 要配慮個人情報 | 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害事実など、特に配慮を要する個人情報です。 | 第19条は要配慮個人情報に限られませんが、脆弱性や差別につながる情報では危険が高まります。 |
| 個人情報取扱事業者 | 個人情報データベース等を事業の用に供している者です。 | 営利企業に限られず、顧客名簿や予約台帳を扱う中小企業や個人事業主も対象になり得ます。 |
条文上の短い語句を、取引審査で使える判断枠組みに置き換えます。
「違法又は不当な行為」の違法は、個人情報保護法違反だけを意味しません。無登録貸金業、違法な取立て、特殊詐欺、強盗、脅迫、恐喝、ストーカー行為、悪質商法、詐欺的投資勧誘、反社会的勢力による不当要求、採用差別、薬機法その他の業法違反、不正競争防止法違反、営業秘密侵害、なりすまし、不法行為なども含まれます。
次の比較表は、「違法」「不当」「助長」「誘発」「おそれ」を実務でどう見分けるかを表します。定義だけでなく、どの場面で相手方確認や提供停止に進むかを読み取ることが重要です。
| 概念 | 実務上の読み方 | 典型場面 |
|---|---|---|
| 違法 | 個人情報保護法以外の法令違反、犯罪、行政規制違反、業法違反、民事上違法と評価される行為も含みます。 | 無登録貸金業者への多重債務者リスト提供、違法広告へのターゲティングデータ提供などです。 |
| 不当 | 直ちに違法とは断定できなくても、制度趣旨、公序良俗、社会通念に照らして適正とはいえない行為です。 | 本人の社会的排除や差別を実質的に促す公開情報の集約、悪質業者への転売が見える名簿取引などです。 |
| 助長 | 既に存在する違法又は不当な行為を容易にし、拡大し、深刻化させることです。 | 特殊詐欺グループ又はその仲介者への高齢者名簿提供などです。 |
| 誘発 | 個人情報の利用が原因となり、新たな違法又は不当な行為が生じることです。 | 破産者情報を地図表示して周囲の差別や嫌がらせを生む契機を作る場合などです。 |
| おそれ | 実害発生前でも、社会通念上の蓋然性、客観的事情、認識・予見可能性があれば問題になります。 | 相手方の用途不明、再販売前提、脆弱者セグメント指定、行政処分歴などがある場合です。 |
次の判断の流れは、高リスクなデータ利用を入口で止めるための順番を表します。分岐は赤旗の有無と低減策の実効性を示しており、通常手続で進める案件と、法務・経営判断に上げる案件を読み分けることが重要です。
公開情報、外部購入データ、採用情報、顧客情報、広告ID、取引先担当者情報を区別します。
本人の合理的期待、通知・公表、同意、契約上の制限、最終利用者を見ます。
用途不明、再販売、脆弱者指定、行政処分、苦情、反社疑義、不自然な対価などを確認します。
相手方確認、許認可確認、再提供制限、監査、外部専門家確認を検討します。
同意、記録、契約、ログ、苦情対応を整え、定期的に見直します。
次の赤旗一覧は、第19条リスクを高める客観的事情をまとめたものです。各項目は取引先、利用目的、データ項目、取引条件に潜む危険を表しており、複数が重なるほど追加確認や停止判断へ進むべき度合いが高いと読み取れます。
相手方が利用目的を説明しない、又は具体的な用途確認を拒む場合は、違法・不当利用の予見可能性が高まります。
高齢者、債務者、疾病経験者、破産者、求職者などを狙う条件は、差別や悪質勧誘につながりやすい事情です。
無登録・無許可の可能性、行政処分、苦情、報道、訴訟、反社関係の疑いは重点確認が必要な事情です。
最終利用者が見えない条件、不自然な高額対価、匿名性の高い取引は、名簿の流通経路を追えなくする事情です。
本人同意に基づく第三者提供でも、第19条の検討は不要になりません。ただし、すべての低リスク取引で提供先の違法利用意思まで一般的に確認する趣旨ではなく、違法利用を示す客観的事情がある場合に、通常手続だけで済ませないことが中心になります。
個人情報保護委員会の典型例を、企業の通常業務に引き寄せて確認します。
個人情報保護委員会の通則ガイドラインでは、不適正利用の禁止に関する典型例が示されています。次の表は、その類型と企業法務上の警戒ポイントを対応させたものです。どの業務部門で同じ構造が起きるかを読み取ることが重要です。
| 類型 | 典型例 | 法務上の警戒ポイント |
|---|---|---|
| 違法事業者への提供 | 違法な行為を営む疑いがある事業者への個人情報提供です。 | 取引先審査、許認可確認、反社チェック、苦情・行政処分・報道確認が必要になります。 |
| 破産者等情報の公開 | 官報に掲載された破産者情報等を集約し、検索可能な形で公開する場面です。 | 公開情報でも、集約・検索・地図表示・永続化により差別的取扱いを誘発し得ます。 |
| 反社会的勢力関連情報の開示 | 暴力団員等に関する情報や対応担当者名簿を不用意に漏らす場面です。 | 反社排除情報は必要性がある一方、漏えい時の二次被害が大きくなります。 |
| 第三者提供規制違反を予見できる提供 | 提供先が本人同意なくさらに第三者提供することを予見できる場面です。 | 再提供禁止、監査権、利用目的制限、記録保存を契約と運用で確認します。 |
| 採用差別 | 採用選考情報を属性だけを理由とする差別的取扱いに使う場面です。 | AIスクリーニング、求人広告ターゲティング、外部採用ベンダー連携に注意します。 |
| 違法商品の広告配信 | 違法な商品・サービスの広告配信のために個人情報を利用する場面です。 | 広告審査、薬機法・景表法・金融規制・業法確認を個人情報審査と一体で行います。 |
次の時系列は、公開情報を用いたサービスでも重大な行政・刑事リスクへ進み得る流れを表します。順番は、公開情報の収集から本人被害の拡大、当局対応までの危険の進み方を示しており、初期設計で止める重要性を読み取れます。
官報、登記、裁判情報、SNS、公開プロフィールなどの情報を集める段階で、公開目的と再利用目的のずれを確認します。
氏名、住所、地図情報、ランキング化、長期公開が組み合わさると、差別、嫌がらせ、詐欺勧誘、脅迫、晒しの危険が高まります。
新破産者マップのような事案では、第19条違反だけでなく、本人通知・公表や第三者提供の問題も重なり得ます。
公開情報を使うサービスでは、その情報が本来どの制度目的で公開されているか、集約・検索・地図表示・ランキング化により本人の不利益が増えないか、本人が訂正・削除・非表示・利用停止を求める機会があるか、収益モデルが本人の不利益を利用する構造になっていないかを確認します。
次の比較一覧は、名簿販売、違法事業者への顧客リスト提供、採用・人事、広告配信、反社対応情報の漏えいを並べたものです。領域ごとの危険と統制を見比べることで、自社の通常業務に潜む第19条リスクを読み取れます。
| 領域 | 高リスクになる事情 | 必要な統制 |
|---|---|---|
| 名簿販売・データブローカー | 転売屋への販売、用途不明、脆弱者セグメント、迷惑勧誘や犯罪利用の可能性です。 | 最終利用目的確認、再提供制限、記録、監査、取引停止基準を整えます。 |
| 違法事業者への顧客リスト提供 | 無登録貸金業者、違法投資勧誘、無許可医薬品販売、詐欺的副業紹介などへの提供です。 | 許認可、登録番号、商材、勧誘手法、苦情、報道、行政処分を確認します。 |
| 採用・人事 | 性別、国籍、出身地、信条、家族構成、病歴、障害、妊娠・出産、年齢などを職務関連性なく用いる場面です。 | 採用基準の文書化、AI入力項目の点検、外部採用ベンダー契約、説明可能性を確保します。 |
| 広告・マーケティング | 違法薬物、無承認医薬品、無登録金融商品、詐欺的副業、悪質商材などへのターゲティングです。 | 広告審査と個人情報審査を一体化し、脆弱者を狙う条件を止めます。 |
| 反社・不当要求対応情報 | 暴力団員等の情報、疑わしい取引情報、対応担当者情報、通報情報の漏えいです。 | 共有範囲の限定、アクセス制限、ログ、暗号化、持出制限、担当者教育を徹底します。 |
3つの防衛線、15の審査設問、リスク分類で現場運用に落とし込みます。
第19条対応は、法務部だけが最後にレビューしても間に合いません。データ利用の企画段階から、事業部門、法務、コンプライアンス、プライバシー、情報セキュリティ、内部監査が役割を分けて関与します。
次の役割分担表は、3つの防衛線ごとの主体と役割を表します。どの部門が赤旗を見つけ、どの部門が基準化し、どの部門が運用を検証するかを読み取ることが重要です。
| 防衛線 | 主体 | 役割 |
|---|---|---|
| 第1線 | 事業部門、営業、マーケティング、人事、プロダクト | データ利用目的、相手方、本人影響、実務運用を把握し、赤旗を申告します。 |
| 第2線 | 法務、コンプライアンス、プライバシー、情報セキュリティ | 法令解釈、審査基準、契約、教育、モニタリング、当局対応を担います。 |
| 第3線 | 内部監査、監査役・監査等委員、外部監査 | 統制設計と運用状況を独立に評価します。 |
次の設問一覧は、新しいデータ利用や第三者提供、外部データ購入、広告配信、AIモデル学習、共同利用、委託、M&A後のデータ統合で確認すべき項目を表します。順番はデータの中身、本人の期待、提供先、危険、統制、証跡へ進む流れを示しており、答えられない項目が審査上の弱点になります。
どの個人情報を使うか、取得源は何か、本人はその利用を合理的に予期できるか、利用目的は通知・公表又は同意と整合するかを確認します。
要配慮個人情報又は近いセンシティブ情報、公開情報の集約・検索・地図表示、差別・脅迫・詐欺勧誘・社会的排除・経済的被害の蓋然性を確認します。
誰に提供するか、最終利用目的は何か、再提供・転売・外部API連携があるか、違法・不当な行為に使われる赤旗があるかを確認します。
契約、技術、運用でリスクを低減できるか、誰が承認するか、削除・停止請求に対応できるか、記録・ログ・証跡を保存しているかを確認します。
次のリスク分類表は、すべてのデータ利用を同じ重さで審査しないための目安を表します。水準が上がるほど、法務・プライバシー審査、役員承認、監査、提供停止基準が重くなることを読み取れます。
| リスク水準 | 例 | 必要な対応 |
|---|---|---|
| 低 | 既存顧客への通常連絡、契約履行、社内人事管理です。 | 利用目的確認、基本的安全管理、記録を行います。 |
| 中 | 広告配信、外部ベンダー委託、CRM連携、共同キャンペーンです。 | 契約審査、本人表示、委託先管理、ログ、苦情対応を整えます。 |
| 高 | 名簿販売、外部データ購入、第三者提供、センシティブ属性分析、AIスコアリング、公開情報の大規模集約です。 | 法務・プライバシー審査、DPIA相当評価、役員承認、監査、提供停止基準を設けます。 |
| 極高 | 犯罪、詐欺、差別、反社、破産者情報、疾病情報、高齢者等脆弱者を含むデータ利用です。 | 原則停止又は外部専門家確認、経営判断、当局対応を見据えた証跡化を行います。 |
利用目的制限、再提供禁止、違法・不当利用禁止、監査、停止・削除・解除を組み合わせます。
第19条リスクを契約だけで完全に消すことはできません。しかし契約は、相手方の違反を抑止し、予見可能性を下げ、事後対応を可能にする重要な統制です。条項を書くだけでなく、相手方確認、記録、定期監査、苦情モニタリング、違反時停止と一体で運用します。
次の条項設計一覧は、データ提供契約や第三者提供契約で検討する主要な条項を表します。各項目は契約上の言葉だけでなく、事後に提供停止や削除を求める根拠になるため、どの統制に対応するかを読み取ることが重要です。
受領者がデータを契約で明示した利用目的の範囲でのみ利用し、違法又は不当な行為を助長又は誘発する方法で利用しないことを定めます。
目的管理提供者の事前承諾なく、第三者提供、開示、譲渡、貸与、販売、再販売、共同利用、利用許諾をしないことを定めます。
流通制限詐欺的勧誘、無登録営業、違法広告、差別的取扱い、反社による不当要求、犯罪行為、公序良俗違反で利用しないことを定めます。
高リスク対策必要な許認可・登録、反社非該当、重大な法令違反・行政処分・刑事手続・重大苦情がないことを確認します。
相手方確認利用状況、管理状況、再提供の有無、苦情発生状況について報告を求め、必要に応じて監査できるようにします。
モニタリング違法又は不当な行為を助長又は誘発するおそれがある場合、提供停止、削除、返還、利用停止、第三者提供停止、解除を求められるようにします。
有事対応法務、外部専門家、コンプライアンス、プライバシー、監査、営業、人事、情シスの視点を並べます。
第19条対応は、部門ごとに見るリスクが異なります。次の一覧は、各部門が担う実務ポイントを表します。自社のデータ利用審査で、誰が何を確認し、どこへエスカレーションするかを読み取ることが重要です。
| 部門・役割 | 見るべきポイント | 重点領域 |
|---|---|---|
| 法務・企業内弁護士 | 第19条の解釈を審査基準、契約、プライバシーポリシー、同意文言、本人対応、当局対応へ落とし込みます。 | 高リスク利用、第三者提供、契約、利用停止請求です。 |
| 外部専門家 | 不当性、予見可能性、社会通念上の蓋然性、行政対応、訴訟・刑事告発リスクを客観的に確認します。 | 高リスク案件、当局対応、不祥事調査です。 |
| コンプライアンス | 規程、研修、通報制度、反社対応、業法遵守と第19条を接続します。 | 名簿取引、代理店、アフィリエイト、広告代理店取引です。 |
| プライバシー担当 | 個人情報台帳、データマッピング、DPIA相当評価、本人対応、委託先管理、越境移転、漏えい対応を担います。 | 本人影響評価、委託、共同利用、苦情対応です。 |
| 内部監査 | 第三者提供記録、赤旗案件のエスカレーション、名簿購入・販売の承認証跡、委託先監査を検証します。 | 統制の設計と運用状況です。 |
| 営業・マーケティング | リード獲得、名簿購入、広告配信、ターゲティング、代理店連携で赤旗を早期に見つけます。 | 脆弱者セグメント、悪質商材、用途不明の名簿です。 |
| 人事・労務 | 採用、配置、評価、懲戒、休職、健康情報、ハラスメント調査、通報者情報を差別や不利益につなげないよう管理します。 | 採用AI、SNS調査、健康情報、通報者保護です。 |
| 情報システム・セキュリティ | アクセス制御、ログ、DLP、暗号化、権限棚卸し、外部共有、API管理、クラウド設定、委託先接続を担います。 | 誰が何を持ち出せるか、誰に共有できるかです。 |
データ統合、スコアリング、境界事例では、本人の合理的期待と利用結果を重視します。
M&Aでは、買収対象会社が持つ顧客データ、会員データ、広告データ、従業員データ、取引先データ、問い合わせ履歴、名簿、外部購入データが引き継がれます。買収後にグループ内で統合し、新たな広告、与信、クロスセル、AI分析に使う場合、第19条リスクが発生します。
次の確認一覧は、M&AのデューデリジェンスとPMIで見るべきデータ利用リスクを表します。取得源、記録、苦情、統合後利用の整合性を読むことで、買収後に不適正利用が顕在化する危険を下げられます。
データ取得源が適法か、外部購入名簿・データブローカー由来の情報があるか、第三者提供記録・受領記録が保存されているかを確認します。
オプトアウト届出、本人通知・公表、苦情、削除要請、行政照会、漏えい事故があるかを確認します。
反社・犯罪・差別・違法広告に使われるおそれのある利用がないか、買収後の統合利用が本人の合理的期待を超えないかを確認します。
AIやプロファイリングでは、入力データの適法性だけでなく、出力の利用方法、利用者、誤判定時の不利益、説明可能性、人によるレビュー、苦情対応、モデル監査を確認します。次の高リスク例は、モデルが違法又は不当な行為を助長・誘発するおそれを表します。どの特徴量が本人の不利益につながるかを読み取ることが重要です。
破産歴、疾病、家族構成、居住地域などから本人を不利益に扱うスコアリングです。
国籍、性別、年齢、障害、妊娠・出産等と強く相関する特徴量で候補者を排除する利用です。
経済的困窮者、高齢者、認知機能低下が疑われる人を悪質商材や違法広告の対象にする利用です。
犯罪グループが使える形で個人の脆弱性を推定・販売するモデルです。
次の境界事例表は、直ちに第19条違反とまではいえない場面でも、条件次第で危険が高まる例を表します。左列の業務目的だけで判断せず、右列の追加事情を読み取ることが重要です。
| 境界事例 | 一般的な見方 | 危険が高まる条件 |
|---|---|---|
| 通常のB2B営業リスト | 企業担当者名、部署、会社メールアドレスを通常の営業目的で使うだけなら、直ちに第19条違反と評価されない場合があります。 | 違法商材、迷惑勧誘、再販売先不明、苦情多発がある場合です。 |
| 反社チェックの情報共有 | 適切な反社排除目的であれば正当性が高い場合があります。 | 対象者情報や担当者情報が反社側に漏れ、不当要求や報復を助長する場合です。 |
| 公開SNS情報の採用調査 | 公開情報を確認すること自体が直ちに問題になるとは限りません。 | 信条、病歴、家族、妊娠、国籍、労働組合活動、私生活上の表現を不利益判断に使う場合です。 |
| 債権管理・与信審査 | 正当な与信管理、債権回収、本人確認、反社確認は一般に許容される場合があります。 | 破産歴や家族情報等を不必要に公開・共有し、社会的制裁や不当な取立てを助長する場合です。 |
規程、入口審査、相手方審査、契約・記録、運用モニタリングへ落とします。
第19条対応を実効化するには、個人情報保護規程、データ利用審査規程、第三者提供規程、委託先管理規程、広告審査規程、採用情報管理規程に明文化します。禁止事項だけでなく、赤旗発見時のエスカレーション、本人請求、苦情・通報・事故調査、取引停止、削除、再提供先対応まで含めます。
次の規程項目一覧は、不適正利用の禁止を社内ルールに入れる際の主要項目を表します。項目の数が多いほど、現場判断に頼らず、事前承認と記録で危険を止める必要があることを読み取れます。
| 区分 | 盛り込む項目 |
|---|---|
| 基本方針 | 不適正利用禁止の明文化、違法又は不当な行為の例示、高リスクデータ類型の定義を置きます。 |
| 事前審査 | 名簿購入・販売の事前承認、第三者提供時の相手方確認、再提供・転売の原則制限、公開情報の集約審査を定めます。 |
| 特別審査 | 採用、広告、AI利用、脆弱者データ、センシティブ情報、反社情報、破産・疾病・犯罪関連情報の特別審査を定めます。 |
| 有事対応 | 赤旗発見時のエスカレーション、本人からの利用停止等請求、苦情・通報・事故調査、取引停止・削除・回収・再提供先対応を定めます。 |
| 継続運用 | 記録保存期間、保存方法、役員・従業員研修、内部監査、是正措置を定めます。 |
次の審査チェック一覧は、案件審査で使う確認項目を入口、相手方、契約・記録、運用に分けたものです。どの段階で確認が漏れると後から止めにくくなるかを読み取ることが重要です。
利用する個人情報、取得源、利用目的、公開情報の制度趣旨、要配慮情報、脆弱者データ、本人の合理的期待を確認します。
実在性、所在地、代表者、許認可、利用目的、行政処分、報道、苦情、反社疑義、再提供・転売、再提供先の用途、赤旗を確認します。
利用目的制限、再提供禁止又は承認制、違法・不当利用禁止、監査権、報告義務、違反時停止、削除、解除、第三者提供記録を確認します。
苦情、迷惑勧誘、削除要請、提供先の利用状況、監査、不適正利用時の停止基準、本人対応と当局対応の責任者を確認します。
疑いが出た段階で、資料保全、提供停止、削除要請、本人・当局対応を進めます。
第19条違反が疑われる場合、企業は早期に事実調査を行います。初動で重要なのは被害拡大防止です。違法又は不当な利用のおそれが合理的に認められる場合、追加提供を停止し、提供先に利用停止、削除、再提供停止を求め、必要に応じて本人対応、当局相談、外部専門家による調査を行います。
次の資料一覧は、不適正利用が疑われる場面で保全する資料を表します。資料の種類は、取得から提供、利用、苦情、承認、監査までの流れを示しており、後から予見可能性と対応の相当性を説明できるかを読み取ることが重要です。
| 区分 | 保全する資料 |
|---|---|
| 取得・表示 | データ取得元資料、利用目的通知・公表画面、同意画面を保全します。 |
| 契約・記録 | 第三者提供契約、委託契約、覚書、第三者提供記録、受領記録を保全します。 |
| 相手方審査 | 相手方審査資料、取引交渉メール、チャット、議事録を保全します。 |
| 実利用 | データ抽出・提供ログ、広告配信設定、ターゲティング条件を保全します。 |
| 本人・社内 | 本人からの苦情、削除要請、通報、社内承認記録、監査報告書を保全します。 |
次の対応順序は、疑い発見後にどの順番で被害拡大を止めるかを表します。順番は、証拠の散逸を防ぎながら、追加提供停止、削除要請、当局・本人対応へ進む流れを示しています。
取得源、利用目的、契約、記録、ログ、苦情、承認記録を保全します。
合理的なおそれがある場合は、新たな提供や広告配信、API連携を止めます。
削除、返還、再提供停止、再提供先への連絡、利用状況報告を求めます。
事案に応じて個人情報保護委員会、金融庁、消費者庁、厚生労働省、経済産業省、警察などへの対応を検討します。
FAQは一般的な制度説明として整理し、個別案件では事実関係に応じた専門家確認が必要になります。
一般的には、本人同意は重要な適法化要素とされています。ただし、提供先の違法利用を示す客観的事情がある場合には、同意の有無にかかわらず第19条の検討が必要になる可能性があります。具体的な取引では、提供先、用途、再提供、苦情、契約内容を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、公開情報も特定の個人を識別できる限り個人情報に該当し得るとされています。ただし、官報、登記、SNS、ウェブサイトなどの情報をどのように集約し、検索可能化し、拡散するかによって結論は変わります。具体的な利用では、公開制度の趣旨、本人への影響、削除機会の有無を確認する必要があります。
一般的には、第19条は実害そのものではなく「おそれ」を問題にするとされています。ただし、抽象的な可能性だけで足りるわけではなく、社会通念上の蓋然性、客観的事情、事業者の認識・予見可能性を踏まえて判断されます。具体的には、資料を整理して専門家へ相談する必要があります。
一般的には、通常の注意を払っても違法利用を予見できなかった場合、第19条違反と評価されない可能性があります。ただし、赤旗があるのに確認しなかった場合には、予見可能性が問題になる可能性があります。個別の責任判断は、確認内容、証跡、相手方情報、取引経緯によって変わります。
一般的には、個人情報データベース等を事業の用に供している者であれば、規模にかかわらず個人情報取扱事業者に該当し得ます。顧客名簿、予約台帳、会員リスト、従業員名簿、営業リストを扱う場合も対象になる可能性があります。具体的な適用は、事業内容と情報管理の実態に応じて確認する必要があります。
一般的には、名簿販売のすべてが当然に禁止されるわけではないと考えられます。ただし、本人同意、オプトアウト、第三者提供記録、相手方確認、再提供制限があっても、犯罪、詐欺、差別、悪質勧誘に使われる蓋然性がある場合には第19条違反となる可能性があります。具体的な取引では高リスク業務として審査する必要があります。
一般的には、個人情報を用いたAIモデルやプロファイリングも対象になり得ます。違法商品の広告、差別的採用、脆弱者を狙った勧誘、社会的排除を助長又は誘発するおそれがあるかによって判断が変わります。入力データだけでなく、出力の利用方法と本人への影響を評価する必要があります。
一般的には、個人情報保護委員会による指導、報告徴求、勧告、命令、公表、命令違反時の刑事罰、本人からの利用停止等請求、損害賠償請求、取引停止、レピュテーション毀損、上場審査・M&A・監査上の問題に発展する可能性があります。悪質事案では刑事告発に至る可能性もあるため、事案ごとに専門家確認が必要です。
形式的な適法性から、データ利用の実質的な適正性へ移ることが中心です。
不適正利用の禁止の解釈と事例を実務的に理解するには、第19条を例外的な抽象規定として扱わないことが重要です。第19条は、個人情報の利用が社会的にどのような結果を生むか、本人の権利利益をどのように害し得るか、第三者の違法・不当行為をどの程度容易にするかを問います。
次の実務対応一覧は、企業が第19条対応として早期に整備する項目を表します。順番は、データの棚卸しから高リスク抽出、審査、契約、記録、研修、監査、本人対応、危機対応へ進む流れを示しており、どこから着手するかを読み取れます。
顧客、従業員、採用候補者、取引先担当者、広告ID、外部購入データ、公開情報由来データを一覧化します。
入口名簿販売、第三者提供、外部データ購入、広告配信、AI、採用、与信、反社情報、破産・疾病・犯罪関連情報を抽出します。
重点高リスク利用には法務・プライバシー審査を必須化し、違法事業者、闇名簿、差別、脆弱者、再提供、公開情報集約の判断基準を作ります。
判断利用目的制限、再提供禁止、違法・不当利用禁止、監査、削除、解除を入れ、第三者提供記録、受領記録、審査記録、承認記録を保存します。
証跡営業、マーケティング、人事、情報システム、役員向け研修を行い、内部監査が名簿取引、広告配信、委託先、採用AI、公開情報利用を点検します。
継続利用停止等請求、苦情、削除要請へ対応する窓口を整え、不適正利用が疑われる場合の調査、停止、削除、当局対応、広報対応を準備します。
有事2026年6月7日時点では、個人情報保護法の改正法案が国会で審議されています。利用停止等請求、課徴金制度、統計等作成のための第三者提供に関する同意不要措置など、実務に関わる論点が含まれるため、公布日、法律番号、施行日、政令・規則・ガイドライン改正、Q&A改訂を継続的に確認します。
データの有用性を尊重しつつ、本人の権利利益を害する蓋然性の高い利用を止め、赤旗を見逃さず、相手方確認と記録を怠らず、契約・技術・運用・監査を組み合わせることが、企業の信頼と事業継続を支えます。