個人データを他社、グループ会社、外部ベンダー、共催企業、クラウド事業者と共有するときに、委託、共同利用、第三者提供をどのように切り分けるかを実務向けに整理します。
まず、委託・共同利用・第三者提供の分岐と、誤分類したときにずれる実務項目を整理します。
まず、委託・共同利用・第三者提供の分岐と、誤分類したときにずれる実務項目を整理します。
個人データを他社、グループ会社、外部ベンダー、共催企業、クラウド事業者、保守事業者、親会社・子会社、販売代理店、共同研究先、業務提携先と共有する場面では、委託、共同利用、通常の第三者提供のどれで設計するかが問題になります。この使い分けは単なる名称選択ではなく、本人同意、プライバシーポリシー、公表事項、委託先監督、再委託管理、外国第三者提供、漏えい等対応、契約条項、内部監査、説明責任に影響します。
このページの結論は、受領者が提供元の利用目的の達成に必要な範囲で処理するだけなら委託を基本にし、本人から見て一体性が合理的に認められる共同目的で使うなら共同利用又は第三者提供を検討する、という整理です。
次の強調部分は、判断の出発点になる問いを示しています。この問いを先に置くことで、契約名や社内呼称ではなく、受領者の目的、裁量、本人から見た関係を読み取れます。
受領者は提供元の業務を処理しているだけでしょうか。それとも、本人から見て一体性が合理的に認められる範囲で、自己又は共同事業の目的のために個人データを使うのでしょうか。
以下の3つの整理は、最初に確認する分類です。それぞれの違いを押さえると、本人説明、契約、監督、記録のどこを整えるべきかを読み取れます。
委託元の利用目的の達成に必要な範囲で、外部者に個人データの取扱業務を行わせる構造です。委託先は業務範囲を超えて利用できず、委託元には必要かつ適切な監督が求められます。
本人から見て提供元と一体のものとして取り扱われることに合理性がある範囲で、特定の者が共同目的で個人データを利用する構造です。所定事項を事前に示す必要があります。
委託、事業承継、共同利用、法定例外などで整理できない場合は、原則として本人同意や確認・記録義務などを検討します。
対象データが個人データか、外部者が利用可能な状態に置かれるか、第三者提供の原則に戻って確認します。
企業法務では、グループ会社での顧客情報共有、CRMベンダーへの顧客データ預け入れ、共催セミナーでの申込者情報利用、親会社による子会社従業員情報の把握、共同研究先とのデータ共有、クラウド保存、保守会社の本番データアクセスなどが典型的な相談です。
次の比較表は、個人情報、個人データ、保有個人データ、提供、第三者提供の入口概念を整理しています。どの概念に当たるかで、委託・共同利用の検討に入るべきか、安全管理措置や利用目的管理を中心に見るべきかを読み取れます。
| 概念 | 実務上の意味 | 確認ポイント |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるものや個人識別符号を含むものです。 | 氏名、住所、会員ID、顔画像、音声、位置情報などを確認します。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。委託・共同利用・第三者提供で中心になることが多い概念です。 | 会員データベース、従業員台帳、CRM、購買履歴、アクセスログなどを確認します。 |
| 保有個人データ | 開示、訂正、利用停止、消去、第三者提供停止等の権限を有する一定の個人データです。 | 本人対応窓口、安全管理措置の公表、開示等請求への対応を確認します。 |
| 提供 | 自己以外の者が利用可能な状態に置くことです。物理的移転がなくても該当し得ます。 | API連携、共有フォルダ、管理画面閲覧権限、リモート保守、データベースアクセスを確認します。 |
| 第三者提供 | 一定の例外がない限り、個人データを第三者へ提供するには本人同意が原則として必要です。 | 委託、事業承継、共同利用、法定例外、オプトアウト提供の可否を確認します。 |
次の一覧は、使い分けの入口で見落としやすい検討対象を示しています。単にファイルを渡す場面だけでなく、閲覧権限やサポートアクセスの有無も読み取る必要があります。
クラウド事業者が保存データを取り扱わない構造なら、提供に該当しない可能性があります。ただし、利用事業者の安全管理措置は必要です。
保守事業者が本番データを閲覧、抽出、解析できるなら、提供や委託の検討対象になります。
共催各社が自社営業や共同サービスの目的で使うなら、委託だけでは説明しにくい場合があります。
別法人間の共有は、グループ内であっても個人データの提供規制を確認します。
個人情報保護法27条5項の3類型を起点に、委託と共同利用の一体性の根拠を分けて整理します。
個人情報保護法27条5項は、利用目的達成に必要な範囲での委託、事業承継、共同利用の3類型について、提供を受ける者を第三者に該当しないものとして扱います。ただし、それぞれの根拠は同じではありません。
次の比較表は、3類型の位置づけを示しています。各類型で本人との関係における一体性の説明が異なるため、契約・公表・監督で見るべきポイントも変わります。
| 類型 | 第三者に該当しない理由 | 実務の中心 |
|---|---|---|
| 委託 | 委託先が提供元の利用目的達成に必要な業務を処理するため、本人との関係で提供元と一体的に扱われます。 | 委託先選定、委託契約、取扱状況把握、再委託管理です。 |
| 事業承継 | 合併その他の事業承継に伴い、承継される事業の範囲で個人データが移ります。 | 承継範囲、利用目的の承継、M&A時のデータ管理です。 |
| 共同利用 | 本人から見て、特定の者との一体的な取扱いに合理性がある範囲で共同利用されます。 | 事前通知又は容易に知り得る状態、共同利用者の範囲、利用目的、管理責任者、変更管理です。 |
次の表は、共同利用と委託の使い分けで特に重要な3つの軸を示しています。利用目的、受領者の裁量、本人から見た関係を横に並べることで、どちらに傾くかを読み取れます。
| 判断軸 | 委託に傾く事情 | 共同利用に傾く事情 |
|---|---|---|
| 利用目的 | 受領者は提供元の利用目的達成のためだけに処理します。 | 共同利用者それぞれが、あらかじめ示された共同利用目的の範囲で利用します。 |
| 受領者の裁量 | 指示された処理、保守、発送、入力、分析等を行います。 | 共同事業、グループ事業、共通サービスのため一定の利用判断を行います。 |
| 本人から見た関係 | 受領者は外注先又は処理代行者に見えます。 | 受領者はグループ会社、共催企業、共通サービス運営者など、一体的利用が予期され得ます。 |
| 義務の中心 | 委託先監督、委託契約、再委託管理が中心です。 | 公表事項、共同利用者範囲、責任者、変更管理が中心です。 |
| 不適切な例 | 委託先が自社営業や別サービス改善に自由利用する場合です。 | 単なる外注先を共同利用者にして監督を外す場合です。 |
委託は、提供元の利用目的達成に必要な範囲で外部者に処理させる構造です。
個人データの取扱いの委託は、契約の形態や名称を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせる場合に問題になります。業務委託契約、準委任契約、請負契約、SaaS利用契約、運用保守契約、BPO契約、代理店契約、共同研究契約という名称でも、実態として相手方が個人データを取り扱うなら委託に該当し得ます。
次の時系列は、委託先監督を3段階で整理しています。選定、契約、運用のどこで何を確認するかを分けることで、委託先の安全管理措置が実際に機能しているかを読み取れます。
安全管理措置、情報セキュリティ体制、実績、再委託体制、所在地、クラウド環境、認証、事故対応体制を確認します。
目的外利用禁止、秘密保持、安全管理措置、再委託制限、監査権、事故報告、返還・削除、ログ、アクセス制御、外国移転、損害賠償、解除、協力義務を定めます。
定期監査、自己点検、SOCレポート確認、脆弱性対応、再委託先更新確認、アクセス権棚卸し、事故訓練、契約更新時レビューを行います。
次の一覧は、委託に該当しやすい取扱いを示しています。受領者が提供元の業務処理だけを行うか、自己目的利用が混ざっていないかを読み取ることが重要です。
紙申込書の入力、データ編集、出力処理などを外部者に依頼する場合です。
処理代行ダイレクトメール発送会社や配送会社に氏名・住所などを渡し、発送又は配送を依頼する場合です。
必要範囲従業員情報を使った給与計算、顧客情報を使った問い合わせ対応などです。
業務処理障害調査や復旧のため、ログや顧客データを参照する可能性がある場合です。
アクセス管理購買履歴を渡し、自社向けのマーケティング分析レポートを作成してもらう場合です。
独自利用に注意次の表は、委託契約で最低限検討する条項を示しています。条項ごとの目的と注意点を見ることで、委託の範囲を超える利用や再委託管理の不足を読み取れます。
| 条項 | 目的 | 実務上の注意点 |
|---|---|---|
| 委託業務の範囲 | 目的外利用を防ぎます。 | 「本サービス提供に必要な範囲」だけでは曖昧な場合があります。 |
| 取扱データの範囲 | 過剰提供を防ぎます。 | データ項目、対象者、件数、期間、保存場所を記載します。 |
| 目的外利用禁止 | 委託構造を維持します。 | サービス改善、AI学習、広告利用を明示的に制限します。 |
| 安全管理措置 | 委託先監督に対応します。 | 技術的、組織的、人的、物理的措置を具体化します。 |
| 再委託 | サプライチェーンを管理します。 | 事前承認、リスト化、同等義務、監査、変更通知を定めます。 |
| アクセス権 | 最小権限を徹底します。 | 管理者権限、共有ID禁止、多要素認証、ログ保管を定めます。 |
| 事故報告 | 漏えい等対応を迅速化します。 | 速報期限、報告事項、証拠保全、本人通知支援を定めます。 |
| 監査・報告 | 取扱状況を把握します。 | 現地監査、書面監査、第三者認証、SOCレポート等を組み合わせます。 |
| 返還・削除 | 終了時の管理を行います。 | バックアップ、ログ、再委託先の削除証跡も確認します。 |
| 外国移転 | 越境リスクを管理します。 | 委託先・再委託先所在地、アクセス国、サーバ所在地を確認します。 |
次の一覧は、委託として整理することに慎重な場面を示しています。受領者が自己目的で利用するか、共同事業として利用判断を行うかを読み取ると、共同利用や第三者提供の検討に移るべきかが分かります。
受領者が自社の営業活動に利用する場合は、委託だけでは支えにくくなります。
受領者が自社の商品開発、広告配信、AI学習、統計サービス、データベース構築に使う場合は再検討します。
受領者が提供元の指示を超えて利用目的を決める場合は、委託の従属性が弱くなります。
共同事業として複数社がそれぞれ顧客にアプローチする場合は、共同利用又は第三者提供を検討します。
共同利用は、本人から見た一体的取扱いの合理性と、事前に示す事項の明確性が中心です。
共同利用では、個人データを特定の者との間で共同して利用します。本人から見て、提供元と共同利用者が一体的に個人データを扱うことに合理性があるか、共同利用者の範囲や利用目的を本人が判断できる程度に示せるかが重要です。
次の表は、共同利用開始前に本人へ通知し、又は本人が容易に知り得る状態に置く5項目を示しています。どの項目も、本人が共有先と利用の範囲を判断するために重要です。
| 項目 | 記載の要点 | 不十分になりやすい例 |
|---|---|---|
| 共同利用をする旨 | どの個人データを共同して利用するのかを明確に示します。 | プライバシーポリシーの奥深くに抽象的に書くだけの表示です。 |
| 個人データの項目 | 氏名、連絡先、会員ID、契約情報、購買履歴、問い合わせ履歴などを特定します。 | 「その他必要な情報」とだけ広く書く表示です。 |
| 共同利用者の範囲 | 本人がどの事業者まで利用されるか判断できる程度に明確にします。 | 「当社グループ」「提携先」「当社が認める第三者」とだけ書く表示です。 |
| 利用目的 | 共同利用者が利用する目的を全て示します。項目ごとに目的が異なる場合は区別します。 | 営業、分析、品質改善、セキュリティなどをまとめて曖昧に書く表示です。 |
| 管理責任者 | 氏名又は名称、住所、法人代表者氏名を示します。開示等請求や苦情処理に対応できる主体です。 | 社内担当者や部署名だけを責任者として示す表示です。 |
次の一覧は、共同利用の設計で特に詰まりやすい注意点を示しています。本人の予期可能性と変更制限を読み取ることで、開始時にどこまで具体化すべきかが分かります。
登録画面、申込書、会員ページ、メール、店頭掲示、FAQなど、本人接点に合わせて分かりやすく示します。
子会社及び関連会社と表記する場合でも、対象会社一覧を確認できる状態にするなど、範囲を判断できるようにします。
氏名・連絡先、購買履歴、契約情報、属性情報、従業員情報、セキュリティログなど、項目と目的の関係を整理します。
共同利用される個人データの項目と共同利用者の範囲は、原則として後から自由に変更できません。
次の一覧は、共同利用に向きやすい場面を示しています。本人から見て一体的サービス又は共同目的が自然に理解できるかを読み取ることが重要です。
取得時の利用目的の範囲内で、顧客情報を横断的にサポートやサービス提供に使う場合です。
範囲明確化本人から見て複数社が一体的に運営するサービスとして認識される場合です。
一体性申込段階から各社が共同利用することを明確に示している場合です。
営業利用に注意個人データ該当性から、委託、共同利用、第三者提供まで順番に確認します。
共同利用と委託の使い分け判断は、いきなり「どちらがよいか」を選ぶのではなく、対象データ、提供の有無、受領者の目的、共同利用要件、第三者提供の順に確認すると安定します。
次の判断の流れは、案件相談を受けたときに見る順番を示しています。上から順に確認することで、クラウドの非提供、処理代行、共同目的利用、第三者提供のどこに整理すべきかを読み取れます。
氏名、連絡先、ID、購買履歴、ログ、要配慮情報などを確認します。
閲覧、取得、検索、加工、出力、保守、復旧、バックアップ、ログ確認の可否を見ます。
自己目的利用がなく、提供元の指示又は契約に従う処理なら委託を基本にします。
委託先選定、委託契約、取扱状況把握、再委託管理を整えます。
共同利用要件を満たせない場合は、本人同意や確認・記録義務を確認します。
次の表は、各ステップで確認する具体項目をまとめています。どの段階で判断が止まるかを見ることで、次に整える契約、公表、同意、安全管理措置を読み取れます。
| 段階 | 確認すること | 次の対応 |
|---|---|---|
| Step 1 | 対象が個人データか、個人関連情報、仮名加工情報、匿名加工情報として扱うべきかを確認します。 | 個人データでなければ、利用目的、安全管理、不適正利用禁止などを別途確認します。 |
| Step 2 | 外部者が利用可能な状態に置かれるかを確認します。 | 提供がないクラウド構造なら、安全管理措置を中心に設計します。 |
| Step 3 | 受領者が提供元の利用目的のためだけに処理するかを確認します。 | 満たす場合は、委託先監督と契約を整えます。 |
| Step 4 | 受領者が自己又は共同事業の目的で使うか、共同利用の要件を満たせるかを確認します。 | 共同利用者の範囲、利用目的、責任者、本人の予期可能性を整えます。 |
| Step 5 | 委託にも共同利用にも当たらないかを確認します。 | 第三者提供として、本人同意、オプトアウト提供、法定例外、外国第三者提供、確認・記録義務を検討します。 |
発送代行、CRM、グループ共有、共催、共同研究、クラウドなどを実態から整理します。
典型場面では、契約名や関係性だけで判断しないことが重要です。次の比較表は、よくある場面ごとの基本整理と、追加で確認する点を示しています。
| 場面 | 基本整理の方向 | 追加で確認する点 |
|---|---|---|
| 発送代行・配送 | 発送代行や封入封緘は委託に該当しやすいです。 | 配送ラベル、配送約款、事故時通知、大量発送時の委託条項を確認します。 |
| CRM・メール配信 | 配信、セグメント作成、開封率分析、スコアリングは委託に該当しやすいです。 | ベンダーのサービス改善、AI学習、広告利用、国外保存、削除、サポートアクセスを確認します。 |
| グループ会社共有 | 総合サービスや横断サポートなら共同利用が候補になります。 | 共同利用者一覧、利用目的、責任者、海外子会社、M&A後の範囲変更を確認します。 |
| 親会社の従業員情報管理 | 人事事務代行なら委託、グループ人事や統制目的なら共同利用が候補です。 | 就業規則、社内規程、外国親会社、健康情報、内部通報者保護を確認します。 |
| 共同研究・共同開発 | 分析外注だけなら委託、研究機関が自ら研究目的で使うなら共同利用又は第三者提供を検討します。 | 学術研究例外、本人同意、匿名加工情報、仮名加工情報、AI学習の利用範囲を確認します。 |
共催セミナーや共同キャンペーンは、申込画面の設計で整理が大きく変わります。次の表では、3つの案の違いを見て、透明性と同意・公表・記録の負担を読み取れます。
| 案 | 構造 | 長所 | 注意点 |
|---|---|---|---|
| 各社共同取得 | 申込時に各社が取得主体であることを明示します。 | 透明性が高いです。 | 各社の利用目的と問い合わせ先を明示します。 |
| 幹事会社から第三者提供 | 幹事会社が取得し、本人同意により各社へ提供します。 | 同意設計が明確です。 | 同意取得画面、提供記録、撤回対応が必要です。 |
| 共同利用 | 所定事項を事前表示し、共同利用として運用します。 | 継続的共催や共同事業に向きます。 | 共同利用者範囲、目的、責任者、変更管理が必要です。 |
クラウド・SaaSは、保存の有無ではなく、事業者が個人データを取り扱うかで分けます。次の表では、3つの類型ごとに法的整理の方向を読み取れます。
| 類型 | 例 | 法的整理の方向 |
|---|---|---|
| 事業者が個人データを取り扱わない | 暗号化・アクセス制御があり、クラウド事業者が保存データを取り扱いません。 | 提供に該当しない可能性があります。利用事業者の安全管理措置は必要です。 |
| 事業者が運用・サポートで取り扱う | サポート担当が本番データを閲覧し、障害解析で抽出します。 | 委託に該当しやすいです。 |
| 事業者が自己目的で利用する | サービス改善、広告、AI学習、他顧客向け分析に利用します。 | 委託を超えるため、第三者提供等を検討します。 |
共同利用と委託を誤ると、監督、公表、同意、外国移転、証跡の設計がずれます。
誤分類のリスクは、形式的な表示ミスにとどまりません。次の一覧では、委託と共同利用の取り違えがどの実務項目に影響するかを示しています。
委託先選定、委託契約、監査、再委託管理、目的外利用禁止が不十分になり、事故時に委託元の監督責任が問題になります。
受領者の独自利用が委託範囲を超え、共同利用者、利用目的、責任者、本人対応の説明が不足する可能性があります。
単なる提携先、広告事業者、不特定のパートナーへの提供は、本人同意や第三者提供としての設計が必要になる場合があります。
プライバシーポリシーでは共同利用、契約実態では処理代行という不整合があると、説明責任と監査対応が難しくなります。
外国にある第三者、海外委託先、海外グループ会社が関与する場合は、委託か共同利用かとは別に越境移転の確認が必要です。次の表は、海外SaaSや外国BPOで確認する観点を示しています。
| 確認項目 | 見るべき内容 |
|---|---|
| 所在国・地域 | 委託先、再委託先、サーバ所在地、サポートアクセス国を確認します。 |
| 取扱いの有無 | 外国事業者が個人データを取り扱うのか、取り扱わない構造なのかを確認します。 |
| 本人への情報提供 | 外国にある第三者への提供で必要な情報提供や同意の要否を確認します。 |
| 相当措置・外的環境 | 継続的実施確保、本人求めに応じた情報提供、外的環境の把握を確認します。 |
| AI・サービス改善条項 | 海外SaaSのAI機能、学習、改善、サブプロセッサーの条項を確認します。 |
委託や共同利用は、第三者提供の確認・記録義務の対象外になり得ますが、証跡が不要になるわけではありません。次の表では、後から説明するために残すべき記録を読み取れます。
| 分類 | 残すべき証跡 |
|---|---|
| 委託 | 委託先選定チェックシート、委託契約・DPA、再委託承認記録、監査・自己点検結果、アクセス権限設定記録、事故報告・是正措置記録、返還・削除証明を残します。 |
| 共同利用 | 共同利用公表文言の版管理、共同利用者一覧、データ項目一覧、利用目的対応表、管理責任者決定書、共同利用者間契約・規程、本人対応手順、変更管理記録、開始前公表の証跡を残します。 |
よくある10ケースを、基本整理と追加対応に分けて確認します。
次のマトリクスは、企業法務で使える簡易判断表です。ケース、基本整理、理由、追加対応を横並びで確認すると、同じ外部共有でも委託、共同利用、第三者提供、非提供候補に分かれることが読み取れます。
| ケース | 基本整理 | 理由 | 追加対応 |
|---|---|---|---|
| DM発送会社に宛名データを渡します。 | 委託 | 発送業務の処理代行です。 | 委託契約、再委託管理、事故通知を整えます。 |
| 給与計算会社に従業員情報を渡します。 | 委託 | 給与計算の処理代行です。 | 要配慮情報、社労士・税務連携、削除証跡を確認します。 |
| グループ会社で顧客情報を共有し相互にサポートします。 | 共同利用候補 | 本人から見たグループ一体性があり得ます。 | 5項目公表、範囲明確化、責任者を整えます。 |
| 共催セミナーで各社が営業利用します。 | 共同取得、同意、又は共同利用 | 幹事会社だけが取得するなら第三者提供問題が生じます。 | 申込画面設計、利用目的明示を整えます。 |
| SaaSに保存しますが事業者はデータを取り扱いません。 | 提供非該当候補 | 取扱いの有無が基準です。 | 契約条項、アクセス制御、安全管理を確認します。 |
| 保守会社が本番データを用いて検証します。 | 委託候補 | 個人データの取扱いがあります。 | 監督、ログ、マスキング、最小権限を整えます。 |
| ベンダーが預かったデータを自社AI学習に利用します。 | 委託を超える可能性 | ベンダー独自目的利用です。 | 同意、匿名化、利用停止、契約再設計を検討します。 |
| 親会社が子会社従業員情報をグループ人事に利用します。 | 共同利用候補 | グループ人事・管理目的です。 | 就業規則、従業員説明、外国移転を確認します。 |
| 外国BPOに入力業務を依頼します。 | 委託と外国第三者提供の検討 | 外国委託先が個人データを取り扱います。 | 情報提供、同意、外的環境把握を確認します。 |
| 業務提携先が自社サービスの営業に使います。 | 第三者提供又は共同利用検討 | 委託ではありません。 | 本人同意、共同利用要件、提供記録を確認します。 |
共同利用の公表、委託契約、共同利用者間契約を、実態に合わせて整えます。
共同利用は本人向けの公表文言、委託は委託契約又はDPA、共同利用者間では内部契約や規程が重要です。文言は広く書けばよいわけではなく、実際のデータ項目、利用目的、責任者、取扱範囲と一致している必要があります。
次の表は、共同利用公表文言の設計項目を示しています。本人が何を読めば共有先と利用目的を理解できるかを読み取るための設計表です。
| 公表項目 | 本人向けの記載ポイント | 確認すること |
|---|---|---|
| 共同利用をする旨 | 当社は、下記の共同利用者との間で、お客様の個人データを共同して利用します、と示します。 | 取得画面やプライバシーポリシーから本人が見つけやすいかを確認します。 |
| データ項目 | 氏名、住所、電話番号、メールアドレス、会員ID、契約情報、購買履歴、問い合わせ履歴、サービス利用履歴などを示します。 | 「その他必要な項目」が広すぎないかを確認します。 |
| 共同利用者の範囲 | 当社及び当社グループ会社などと書く場合、対象会社の一覧を確認できるようにします。 | 一覧の更新方法と履歴管理を確認します。 |
| 利用目的 | 商品・サービスの提供、保守、問い合わせ対応、案内、提案、キャンペーン、品質改善、セキュリティ、法令遵守などを具体化します。 | 取得時の利用目的の範囲内かを確認します。 |
| 管理責任者 | 名称 ― 株式会社○○、住所 ― 東京都○○区○○、代表者 ― 代表取締役○○○○のように示します。 | 内部担当者ではなく、権利行使と安全管理に責任を持つ主体かを確認します。 |
次の表は、委託契約又はDPAで検討する条項例を示しています。受託者の目的外利用、解析、学習、統計化、再委託、事故報告、返還・削除をどう制御するかを読み取れます。
| 条項例 | 設計ポイント |
|---|---|
| 取扱範囲 | 受託者は、委託者から提供を受け、又は業務遂行に関連して取り扱う個人データを、本業務の遂行目的の範囲内でのみ取り扱います。 |
| 目的外利用の制限 | 委託者の事前承諾なく、第三者提供、目的外利用、複製、加工、解析、学習、統計化その他本業務の範囲を超える利用をしない旨を定めます。 |
| 安全管理措置 | 個人情報保護法その他関連法令及び個人情報保護委員会ガイドラインに従い、必要かつ適切な安全管理措置を講じる旨を定めます。 |
| 再委託 | 事前承諾、同等以上の義務、再委託先の行為についての責任を定めます。 |
| 事故対応 | 漏えい、滅失、毀損、不正アクセス、目的外利用その他事故又はそのおそれを認識した場合の通知、調査、被害拡大防止、本人対応、当局報告、再発防止への協力を定めます。 |
| 監査・報告 | 合理的な範囲で取扱状況の報告を求め、又は監査を行えるようにします。 |
| 終了時処理 | 契約終了時又は指示時の返還、削除、消去、完了資料の提出を定めます。 |
次の表は、共同利用者間契約又は規程で決める事項を示しています。本人向け公表だけでなく、内部の責任分担を整えないと安全管理や本人対応が実効的に動かないことを読み取れます。
| 項目 | 内容 |
|---|---|
| 共同利用の目的 | 本人向け公表文言と整合する目的を定めます。 |
| 共同利用者の範囲 | 参加、脱退、名称変更、事業承継の手続を定めます。 |
| データ項目 | 取得元、項目、更新頻度、保存期間、削除基準を定めます。 |
| 取得方法 | 本人への通知・公表、取得画面、同意文言との関係を定めます。 |
| 管理責任者 | 開示等請求、苦情、訂正、利用停止、事故対応の一次責任を定めます。 |
| 安全管理措置 | アクセス制御、暗号化、ログ、持出制限、教育、委託管理を定めます。 |
| 利用制限 | 目的外利用、第三者提供、再提供、広告利用、AI学習等の制限を定めます。 |
| 事故対応・監査・変更管理 | 初動、本人通知、当局報告、自己点検、相互監査、目的変更、責任者変更、範囲変更、項目変更の手続を定めます。 |
| 終了時処理 | 脱退時、共同利用終了時、事業終了時の削除・返還を定めます。 |
データの流れ、役割分担、判断記録、経営視点をそろえることで、後から説明できる設計にします。
共同利用と委託の判断は、法務部門だけで完結しません。実際のシステム連携、ベンダーアクセス、再委託、海外アクセス、AI利用、本人接点を把握するため、事業、法務、プライバシー、情報セキュリティ、契約、コンプライアンス、内部監査、経営層が連携します。
次の時系列は、社内で判断を進める順番を示しています。データの流れ、役割分担、判断記録を順に残すことで、監査や事故対応時に説明できる状態を作れます。
取得元、本人接点、取得時の利用目的、データ項目、保存場所、アクセス権者、提供先、委託先、再委託先、共同利用者、外国アクセス国、サーバ国、加工・分析・学習・統計化、保存期間、削除、バックアップを整理します。
事業部門、法務、プライバシー、情報セキュリティ、契約法務、コンプライアンス、内部監査、経営層、外部専門家の確認事項を分けます。
案件概要、対象データ、提供の有無、受領者の利用目的、委託該当性、共同利用該当性、第三者提供該当性、外国移転、必要な契約・公表・同意・安全管理措置、残余リスク、承認者、見直し時期を記録します。
次の表は、RACIのように役割を分ける際の確認事項を示しています。どの部門がどの事実を持っているかを読み取ることで、法務判断の前提をそろえやすくなります。
| 役割 | 主な確認事項 |
|---|---|
| 事業部門 | 目的、業務の流れ、共有先、利用実態、本人接点を確認します。 |
| 法務担当 | 法的構成、契約、本人同意、プライバシーポリシー、リスク判断を確認します。 |
| 個人情報保護・プライバシー担当 | データマッピング、PIA、本人対応、規程整備を確認します。 |
| 情報セキュリティ担当 | アクセス制御、暗号化、ログ、脆弱性、クラウド設定を確認します。 |
| 契約法務担当 | 委託契約、DPA、共同利用契約、再委託条項を確認します。 |
| コンプライアンス担当 | 社内教育、違反予防、通報制度、監査連携を確認します。 |
| 内部監査担当 | 運用証跡、規程遵守、委託先管理、共同利用管理を確認します。 |
| 経営層 | 重要リスク、レピュテーション、グループ方針、投資判断を確認します。 |
| 外部専門家 | 高リスク案件、越境移転、当局対応、事故対応、意見書を確認します。 |
次の一覧は、実務上よくある誤解を修正するためのものです。どの誤解も、本人への説明可能性と実態に合う契約・公表を読み取ることが重要です。
別法人であれば提供規制を確認します。共同利用では範囲、目的、責任者等を事前に示します。
第三者提供規制上の整理とは別に、取得時の利用目的、委託先監督、安全管理措置、外国移転、公表事項を確認します。
共同利用者が同時に委託先として処理するなら、実態に応じて委託先監督の観点も確認します。
共同利用者の範囲や利用目的は、本人が判断できる程度に明確にします。
クラウド事業者が個人データを取り扱うこととなっているかで判断します。
共同利用される個人データの項目や共同利用者の範囲の変更は、原則として認められません。
次の一覧は、形式ではなく実態を見るための代表例を示しています。契約名や表示ではなく、受領者の目的と裁量を読み取ると整理が変わります。
A社向けキャンペーン設計は委託と整理し得ますが、B社自身の広告ネットワーク改善、他社向け分析モデル、業界ベンチマーク資料に使う部分は委託範囲を超える可能性があります。
独自利用グループ共通CRMの運用会社がA社の指示だけでCRM運用や問い合わせ一次対応を行う場合、共同利用者間規程だけでなく委託条項も確認します。
監督確認数十社の国内外グループ会社が自由に広告・営業に使うのに「当社グループで共同利用します」とだけ書く場合は、範囲、目的、データ項目、責任者を再設計します。
明確性クラウド事業者が契約上保存データを取り扱わず、アクセス制御があり、サポート時にも顧客データを取得しない運用なら、提供に該当しない可能性があります。
安全管理経営層は、どの個人データを誰と共有しているか、委託先・再委託先・海外アクセス先を把握しているか、グループ共同利用の範囲を本人に説明できるかを確認します。また、プライバシーポリシーと実際のデータの流れ、データ利活用の利益と本人の権利利益へのリスク、漏えい時の初動、生成AI・広告・プロファイリングでの委託範囲超過、M&Aやグループ再編による範囲変更を確認します。
委託、共同利用、第三者提供へ切り替える兆候を、案件レビュー時に確認します。
次の一覧は、最終的な実務原則を示しています。名称ではなく実態、処理代行と一体的利用の違い、独自利用、変更制限、クラウド、外国移転、証跡を読み取ることで、レビューの抜けを減らせます。
契約名、プライバシーポリシーの見出し、社内用語ではなく、受領者が何の目的でどのように個人データを取り扱うかを見ます。
提供元の利用目的達成のためだけに処理するなら、委託先監督、契約、再委託管理を整えます。
グループ会社、共通サービス、共同事業などでは、5項目、本人の予期可能性、責任者、共同利用者間規程を整えます。
ベンダー、提携先、広告事業者、共同研究先が自己目的で利用するなら、共同利用又は第三者提供等を検討します。
データ項目と共同利用者範囲の変更は原則として認められないため、開始時設計が重要です。
保存しているだけか、事業者が個人データを取り扱うのか、自己目的利用があるのかを分けます。
外国にある第三者が関与するなら、本人への情報提供・同意、外的環境の把握、相当措置、再委託先所在国を確認します。
委託・共同利用として整理した理由、契約、公表、データの流れ、社内承認、監査結果を保存します。
個別案件の結論ではなく、一般的な制度理解として確認しやすい形に整理します。
一般的には、グループ会社であっても別法人である場合は、個人データの提供規制を確認する必要があるとされています。共同利用とする場合は、共同利用者の範囲、利用目的、管理責任者などを本人が判断できる程度に示す必要があります。ただし、取得時の利用目的、本人の予期可能性、外国移転、社内規程によって結論は変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、契約名ではなく、受領者がどの目的でどのように個人データを取り扱うかが重要とされています。提供元の利用目的達成のためだけに処理するなら委託が基本ですが、受領者が自社営業、AI学習、広告、別サービス改善に使う場合は、委託の範囲を超える可能性があります。具体的な対応は、契約条項とデータの流れを整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、クラウド事業者が個人データを取り扱うこととなっているかどうかが判断の基準とされています。契約上保存データを取り扱わず、適切なアクセス制御がある場合は、提供に該当しない可能性があります。ただし、安全管理措置、サポートアクセス、サブプロセッサー、外国アクセスの有無によって結論は変わります。具体的な対応は、契約と運用を確認したうえで弁護士等の専門家へ相談する必要があります。
一般的には、共同利用として公表していても、実態として個人データの取扱業務を外部者に行わせている場合は、委託先監督の観点が問題になる可能性があります。共同利用者間規程だけで足りるか、委託契約又は委託条項も必要かは、受領者の目的、裁量、処理内容によって変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、共同利用される個人データの項目や共同利用者の範囲は、原則として後から自由に変更できないとされています。名称変更や事業承継など実質的範囲に変更がない場合などは別途検討されますが、将来の不特定な拡張を予定する場合は開始時設計が重要です。具体的な対応は、既存の公表文言、取得時の利用目的、変更予定を整理したうえで弁護士等の専門家へ相談する必要があります。
このページは、2026年6月7日時点で確認した個人情報保護委員会の公表資料、個人情報保護法、ガイドライン及びQ&Aを基礎にした一般的な解説です。個別事案に対する法的助言ではありません。個人情報保護法、関連政令・規則、ガイドライン、Q&A、業界ガイドライン、外国法、契約実務、当局運用は変更され得ます。実際の案件では、最新の公的情報源を確認し、必要に応じて弁護士その他の専門家に相談してください。