2σ Guide

第三者から提供を受ける際の確認を
企業法務で整理する

外部から個人データを受け取る前に、提供者、取得経緯、本人同意または法的根拠、記録事項、保存期間、社内統制を確認します。

30条 確認義務の中心条文
20項目 受領前チェック
1年/3年 記録保存期間の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

第三者から提供を受ける際の確認を 企業法務で整理する

外部から個人データを受け取る前に、提供者、取得経緯、本人同意または法的根拠、記録事項、保存期間、社内統制を確認します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
第三者から提供を受ける際の確認を 企業法務で整理する
外部から個人データを受け取る前に、提供者、取得経緯、本人同意または法的根拠、記録事項、保存期間、社内統制を確認します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 第三者から提供を受ける際の確認を 企業法務で整理する
  • 外部から個人データを受け取る前に、提供者、取得経緯、本人同意または法的根拠、記録事項、保存期間、社内統制を確認します。

POINT 1

  • 第三者から提供を受ける際の確認の全体像
  • 外部から個人データを受け取る前に、相手、取得経緯、根拠、記録を確認します。
  • 第三者から提供を受ける際の確認は、入口管理と説明責任の仕組みです
  • 対象情報
  • 取得経緯と根拠

POINT 2

  • 第三者から提供を受ける際の確認で使う基本概念
  • 個人情報、個人データ、個人情報取扱事業者、第三者の意味をそろえます。
  • この確認義務は、一般的な確認作業ではなく、個人データの流通経路を後から追跡するための制度です。
  • 名簿流通、不正取得、ブラックボックス化を防ぐ目的があるため、受領者は単に相手を信用するだけでは足りない場合があります。
  • 読者は、個人情報と個人データの違い、第三者からの提供か本人からの取得かの違いを特に確認してください。

POINT 3

  • 第三者から提供を受ける際の確認義務と記録義務の判断順序
  • 1. 受け取る情報は個人データか:受領時点または受領後に、検索可能なデータベースや一覧として管理されるかを確認します。
  • 2. 提供者は第三者か:本人、自社内部、委託先、事業承継先、共同利用者、代理人のどれに当たるかを確認します。
  • 3. 法令上の例外に該当するか:生命・身体・財産保護、公衆衛生、行政協力、学術研究などの例外を慎重に確認します。
  • 4. 実質的に受領しているか:閲覧だけか、コピー、ダウンロード、転記、スクリーンショット、社内DB取り込みをしているかを確認します。
  • 5. 確認・記録・保存へ進む:提供者、取得経緯、根拠資料、データ項目、承認者、保存期限を記録します。

POINT 4

  • 第三者から提供を受ける際に確認すべき事項
  • 提供者、取得経緯、法的根拠、要配慮個人情報、個人関連情報を確認します。
  • データの危険度が高いほど、確認資料も厚くする必要があります。
  • 読者にとって重要なのは、提供者の申告をそのまま受け取らず、根拠資料やデータ項目と照合して確認する点です。
  • 法人であれば商号、所在地、代表者名を、登記情報、法人番号、公式サイト、契約書などで確認します。

POINT 5

  • 第三者から提供を受ける際の記録事項と保存期間
  • 受領記録の項目、媒体、契約書代替、1年・3年の保存期間を整理します。
  • 確認した事項は、後から監査、本人請求、当局照会、訴訟、M&A デューデリジェンスで確認できる形に残す必要があります。
  • 紙、電子ファイル、契約管理、申請記録、CRM、ログ管理など、媒体は限定されませんが、検索性と責任者が重要です。
  • 項目数が多いのは、単なる受領日だけでは流通経路を説明できないためです。

POINT 6

  • 第三者から提供を受ける際の例外と実務類型
  • 委託、事業承継、共同利用、本人提供、公開情報、M&Aや広告を整理します。
  • データベンダーから見込み顧客リストを購入する場合
  • グループ会社から顧客情報を受ける場合
  • デューデリジェンスで個人データを受ける場合

POINT 7

  • 第三者から提供を受ける際のリスクシグナル
  • 取得経緯を説明できません
  • 提供者が、本人から直接取得したのか、第三者から取得したのか、公開情報収集なのかを説明できない場合は注意します。
  • 本人同意や根拠資料がありません
  • 同意画面、同意書、規約、通知文、オプトアウト届出などを提示できない場合は、利用開始を急がないようにします。

POINT 8

  • 第三者から提供を受ける際の契約条項と社内統制
  • 1. 事業部門から受領目的を聞き取ります:誰から、何を、何のために、どの方法で受け取るかをレビュー依頼時に確認します。
  • 2. 適用要件と根拠を確認します:個人データ該当性、第三者性、例外、同意、オプトアウト、要配慮情報、外国関係を確認します。
  • 3. 受領方法と保管場所を確認します:暗号化、アクセス権限、ログ、保管期間、削除、委託先システムを確認します。
  • 4. 台帳に登録して承認します:確認資料、契約、承認者、リスク判定、保存期限を紐付けます。
  • 5. 運用実態を定期的に確認します:台帳、契約、ログ、本人請求対応、問題発生時の利用停止や削除を確認します。

まとめ

  • 第三者から提供を受ける際の確認を 企業法務で整理する
  • 第三者から提供を受ける際の確認の全体像:外部から個人データを受け取る前に、相手、取得経緯、根拠、記録を確認します。
  • 第三者から提供を受ける際の確認で使う基本概念:個人情報、個人データ、個人情報取扱事業者、第三者の意味をそろえます。
  • 第三者から提供を受ける際の確認義務と記録義務の判断順序:受領者と提供者の義務を接続し、適用要件を段階的に判定します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

第三者から提供を受ける際の確認の全体像

外部から個人データを受け取る前に、相手、取得経緯、根拠、記録を確認します。

第三者から提供を受ける際の確認は、外部事業者、グループ会社、提携先、データベンダー、取引先などから個人データを受け取るときに、提供者の身元、取得経緯、本人同意または法的根拠を確認し、記録・保存する実務です。

このページでは、受領時の確認義務を全体像から整理します。なぜ重要かというと、外部から受け取ったデータが不正取得、同意不明、出所不明であれば、自社の営業、広告、採用、M&A、AI活用までリスクを取り込むことになるからです。読者は、受領前の入口管理と受領後の記録管理を分けて読み取ってください。

第三者から提供を受ける際の確認は、入口管理と説明責任の仕組みです

個人情報保護法第30条を中心に、提供者の名称・住所・代表者、取得経緯、本人同意または法的根拠を確認し、受領記録を保存します。

次の一覧は、確認実務の全体像を4つの視点で示しています。各項目は、受け取る前、受け取る時、受け取った後に必要な確認を表します。読者は、契約書だけではなく、取得経緯資料、同意証跡、保存期限、本人請求への備えまで必要になる点を読み取ってください。

視点1

対象情報

受け取る情報が、生存する個人に関する情報であり、自社にとって個人データに該当するかを確認します。

視点2

提供者

提供者の氏名・名称、住所、代表者、個人情報取扱事業者かどうか、海外事業者かどうかを確認します。

視点3

取得経緯と根拠

本人同意、オプトアウト、法令例外、委託、共同利用、事業承継など、提供できる根拠を確認します。

視点4

記録と保存

確認結果、データ項目、承認者、保存期限、根拠資料を、後から検索できる形で保存します。

Section 01

第三者から提供を受ける際の確認で使う基本概念

個人情報、個人データ、個人情報取扱事業者、第三者の意味をそろえます。

この確認義務は、一般的な確認作業ではなく、個人データの流通経路を後から追跡するための制度です。名簿流通、不正取得、ブラックボックス化を防ぐ目的があるため、受領者は単に相手を信用するだけでは足りない場合があります。

次の比較表は、基本概念と受領時の意味を整理しています。左列は用語、中央列は制度上の意味、右列は受領実務での読み方です。読者は、個人情報と個人データの違い、第三者からの提供か本人からの取得かの違いを特に確認してください。

概念意味受領時の読み方
個人情報生存する個人に関する情報で、特定個人を識別できるもの、または個人識別符号が含まれるものです。公開情報、法人担当者情報、名刺情報でも、特定個人を識別できれば個人情報に該当し得ます。
個人データ個人情報データベース等を構成する個人情報です。CSVリスト、CRM、会員管理、営業リスト、採用候補者DBへ取り込む場合に確認義務が問題になりやすいです。
個人情報取扱事業者個人情報データベース等を事業の用に供する者です。営利企業に限らず、士業事務所、学校、医療機関、団体、個人事業主も該当し得ます。
第三者本人と当該事業者以外の者です。委託先、事業承継先、共同利用者などは、一定の場合に第三者から除外される可能性があります。

次の比較表は、第三者から提供を受ける場面かどうかを実務類型で整理しています。行ごとに、受領経路と第三者該当性の考え方が異なります。読者は、本人入力、委託、事業承継、共同利用を、単なる外部提供と分けて読むことが重要です。

場面第三者該当性の基本的な考え方
顧客リストを外部データベンダーから購入する通常は第三者からの提供を受ける場面になりやすいです。
業務委託先から委託業務のためにデータを受け取る委託の範囲内であれば第三者提供ではない方向で整理されることが多いです。
合併・事業譲渡に伴い顧客データを承継する事業承継に伴う場合は第三者提供から除外され得ます。
共同利用の枠組み内でグループ会社からデータを受ける共同利用要件を満たせば第三者提供から除外され得ます。
本人が自らフォームに入力する第三者からの提供ではなく本人からの取得です。
本人の依頼に基づき紹介先へ連絡先を渡す本人に代わって提供する場面として、確認・記録義務の対象外となり得ます。
Section 02

第三者から提供を受ける際の確認義務と記録義務の判断順序

受領者と提供者の義務を接続し、適用要件を段階的に判定します。

受領者側の確認義務、提供者側の記録義務、受領者側の記録義務は、相互に接続しています。提供者がいつ誰に何を渡したか、受領者が誰からどの根拠で受け取ったかを組み合わせることで、流通経路を追跡できます。

次の判断の流れは、確認義務の適用要件を順番に確認するためのものです。順番に意味があり、情報の性質、第三者性、例外、受領行為の順で見ます。読者は、閲覧だけか取得か、公開情報か本人提供かなど、境界が曖昧な場面をこの順序で整理してください。

確認義務の適用を判断する順序

受け取る情報は個人データか

受領時点または受領後に、検索可能なデータベースや一覧として管理されるかを確認します。

提供者は第三者か

本人、自社内部、委託先、事業承継先、共同利用者、代理人のどれに当たるかを確認します。

法令上の例外に該当するか

生命・身体・財産保護、公衆衛生、行政協力、学術研究などの例外を慎重に確認します。

実質的に受領しているか

閲覧だけか、コピー、ダウンロード、転記、スクリーンショット、社内DB取り込みをしているかを確認します。

確認・記録・保存へ進む

提供者、取得経緯、根拠資料、データ項目、承認者、保存期限を記録します。

次の比較表は、法的枠組みの中で誰が何を残すかを整理しています。列の違いに注目すると、契約書だけでは不足し、提供者側と受領者側の双方で記録が必要になる理由が分かります。

義務の種類主体実務上の内容
受領者側の確認義務個人データの提供を受ける個人情報取扱事業者提供者の名称、住所、代表者、取得経緯などを確認します。リスクに応じて登記、同意資料、オプトアウト届出、規約、取得手順を確認します。
提供者側の記録義務個人データを第三者に提供する個人情報取扱事業者提供年月日、受領者、本人識別事項、個人データ項目などを記録し、一定期間保存します。
受領者側の記録義務第三者から個人データを受け取る個人情報取扱事業者確認した事項、根拠資料、受領日、データ項目、リスク判定、承認者、保存期限を記録します。
本人による開示請求との関係記録を保有する事業者第三者提供記録は開示請求の対象になり得ます。営業秘密や他人の個人情報が含まれる場合は慎重に対応します。
Section 03

第三者から提供を受ける際に確認すべき事項

提供者、取得経緯、法的根拠、要配慮個人情報、個人関連情報を確認します。

第三者から提供を受ける際は、提供者の名称等だけでなく、取得経緯、本人同意または提供根拠、要配慮個人情報の有無、個人関連情報の個人データ化を確認します。データの危険度が高いほど、確認資料も厚くする必要があります。

次の表は、リスク水準ごとの確認方法を示しています。左から右へ読むと、受領するデータの量や性質が重くなるほど、契約書だけでなく登記、取得経緯、同意資料、届出、監査権まで確認する必要があると分かります。

リスク水準確認方法の目安
既存取引先から少量の担当者連絡先を受ける場合です。契約書、公式サイト、既存取引情報で確認します。
業務提携先から顧客候補リストを受ける場合です。契約書、登記情報、取得経緯資料、本人同意の説明資料を確認します。
新規データベンダーから大量の個人データを購入する場合です。登記情報、事業内容、取得方法、本人同意、オプトアウト届出、プライバシーポリシー、サンプル、監査権、契約保証を確認します。
重大要配慮個人情報、金融・医療・位置情報、未成年者情報、漏えい疑義データを含む場合です。法務・プライバシー・セキュリティ・経営レベルで審査し、原則として受領停止または個別同意等を確認します。

次の一覧は、確認すべき主要事項を5つに分けて整理しています。読者にとって重要なのは、提供者の申告をそのまま受け取らず、根拠資料やデータ項目と照合して確認する点です。

1

提供者の氏名・名称、住所、代表者

法人であれば商号、所在地、代表者名を、登記情報、法人番号、公式サイト、契約書などで確認します。

身元確認登記
2

取得経緯

本人から直接取得したか、第三者から受けたか、公開情報か、キャンペーンか、サービス利用時かを確認します。

取得経緯資料
3

本人同意または第三者提供の根拠

本人同意、オプトアウト、法令例外、委託、共同利用、事業承継などの根拠を確認します。

根拠同意
4

要配慮個人情報の有無

健康、病歴、犯罪歴、障害、医療、未成年者などの情報が含まれる可能性を確認します。

慎重確認高リスク
5

個人関連情報の受領

Cookie ID、広告ID、閲覧履歴、属性推定情報などが提供先で個人データ化されるかを確認します。

広告突合
Section 04

第三者から提供を受ける際の記録事項と保存期間

受領記録の項目、媒体、契約書代替、1年・3年の保存期間を整理します。

確認した事項は、後から監査、本人請求、当局照会、訴訟、M&Aデューデリジェンスで確認できる形に残す必要があります。紙、電子ファイル、契約管理、申請記録、CRM、ログ管理など、媒体は限定されませんが、検索性と責任者が重要です。

次の表は、受領者側の記録項目をまとめたものです。項目数が多いのは、単なる受領日だけでは流通経路を説明できないためです。読者は、左列の項目を台帳や申請フォームに落とし込み、右列の内容を証跡資料と紐付けてください。

項目内容
管理番号受領案件ごとの識別番号を付けます。
受領日・受領部門個人データを受け取った日と営業、マーケティング、人事、法務、経営企画などの部門を記録します。
利用目的自社が当該データを利用する目的を記録します。
提供者の名称・住所・代表者法人名、団体名、個人名、本店所在地、代表者または権限者を記録します。
提供者の属性個人情報取扱事業者、私人、海外事業者、行政機関等を記録します。
取得経緯本人から直接取得、キャンペーン、会員登録、公開情報収集、第三者取得などを記録します。
第三者提供の根拠本人同意、オプトアウト、法令例外、委託、共同利用、事業承継等を記録します。
本人同意・オプトアウトの証跡同意画面、同意書、ログ、規約、通知文、届出・公表状況を保存します。
データ項目・本人識別事項氏名、住所、メール、電話、属性、履歴、スコア、対象範囲、件数、IDを記録します。
要配慮個人情報・個人関連情報含有有無、確認方法、同意有無、提供先で個人データ化されるかを記録します。
外国関係提供者所在地、外国法制、越境移転の有無を記録します。
リスク判定・承認者・保存期限低・中・高・重大の判定、承認者、1年または3年等の保存期限を記録します。

次の保存期間の比較は、記録類型ごとの目安を示しています。列は、記録の類型と保存期間の考え方に分かれています。読者は、契約書で代替する場合と、継続的・反復的な提供の一括記録では、起算点と期間が異なる点を読み取ってください。

記録の類型保存期間の考え方
契約書等によって記録を代替する場合最後に個人データの提供または受領を行った日から原則1年です。
継続的・反復的な提供について一括記録を作成する場合最後に個人データの提供または受領を行った日から原則3年です。
その他の通常記録原則3年です。
Section 05

第三者から提供を受ける際の例外と実務類型

委託、事業承継、共同利用、本人提供、公開情報、M&Aや広告を整理します。

第三者から提供を受ける際の確認義務には、適用除外や例外があります。ただし、委託、事業承継、共同利用、本人による提供、本人に代わる提供、公開情報を、形式だけで対象外と決めるのは危険です。

次の比較表は、例外・対象外整理と注意点を示しています。左列で類型を確認し、中央列で基本的な考え方を把握し、右列で実務上の落とし穴を読み取ってください。特に共同利用と公開情報は、自由利用を意味しない点が重要です。

類型基本的な考え方注意点
法令上の例外生命・身体・財産保護、公衆衛生、行政協力、学術研究などでは対象外方向で整理される場合があります。例外該当性を安易に拡張せず、根拠、必要性、範囲を記録します。
委託委託の範囲内で委託先から情報を受ける場合は、第三者からの提供ではない方向で整理されることがあります。委託先が独自目的で利用する場合や範囲外利用がある場合は注意します。
事業承継合併、会社分割、事業譲渡に伴う承継は対象外となり得ます。承継と無関係なデータ移転やDD段階の過剰開示には注意します。
共同利用要件を満たした共同利用の枠組みでは対象外となり得ます。公表事項、責任者、利用目的、共同利用者の範囲を確認します。
本人による提供本人が自らフォームに入力する場合は第三者からの提供ではありません。代理人、紹介、応募代行などでは本人意思を確認します。
公開情報公開情報でも個人情報に該当し得ます。取得方法、利用目的、不適正利用、スクレイピング、本人への影響を確認します。

次の比較一覧は、実務類型ごとの確認ポイントを示しています。項目の並びは、営業リストからAI・広告まで、データ受領が起きやすい順に整理しています。読者は、自社の案件がどの類型に近いかを見て、確認資料を増減してください。

リスト購入

データベンダーから見込み顧客リストを購入する場合

取得経緯、本人同意、オプトアウト届出、要配慮情報、データ項目、監査権、契約保証を確認します。

グループ共有

グループ会社から顧客情報を受ける場合

共同利用、第三者提供、外国関係、利用目的、管理責任者を確認します。

M&A

デューデリジェンスで個人データを受ける場合

開示範囲、データルーム権限、匿名化、事業承継該当性、PMI後の利用目的を確認します。

紛争対応

訴訟・不祥事調査で資料を受ける場合

法令例外、財産保護、秘密保持、証拠保全、本人対応を確認します。

採用・人材

採用候補者情報や人材紹介を受ける場合

候補者への説明、推薦者情報、要配慮情報、保存期間、求人目的を確認します。

AI・広告

分析・広告配信目的でデータを受ける場合

個人関連情報の突合、同意、外部ID、学習データ、目的外利用を確認します。

Section 06

第三者から提供を受ける際のリスクシグナル

出所不明、同意不明、センシティブ、低価格大量データなどを入口で止めます。

受け取ってはいけない可能性が高いデータには、いくつかの共通した兆候があります。安価すぎるリスト、取得経緯が曖昧なデータ、本人同意を説明できないデータ、要配慮個人情報を含むデータは、利用開始前に止める判断が必要です。

次の注意点一覧は、受領停止や追加審査につなげるべき兆候を示しています。赤系の枠は注意を促す領域を表し、各項目は受領可否を一律に決めるものではなく、追加確認の入口です。読者は、複数の兆候が重なるほど受領前にエスカレーションする必要があると読み取ってください。

取得経緯を説明できません

提供者が、本人から直接取得したのか、第三者から取得したのか、公開情報収集なのかを説明できない場合は注意します。

本人同意や根拠資料がありません

同意画面、同意書、規約、通知文、オプトアウト届出などを提示できない場合は、利用開始を急がないようにします。

要配慮個人情報が含まれます

健康、病歴、犯罪歴、障害、未成年者、金融・医療・位置情報などが含まれる場合は、通常より高い審査が必要です。

価格や件数が不自然です

大量データが極端に安い、入手経路が曖昧、本人が予測しにくい項目が含まれる場合は、名簿流通リスクを確認します。

目的が後から広がります

営業目的で受け取ったデータを広告、分析、AI学習、別サービスへ転用する場合は、利用目的と本人説明を確認します。

海外・再提供・委託が重なります

外国提供、再委託、再提供、データクリーンルーム、広告ID連携が重なる場合は、契約と記録を厚くします。

Section 07

第三者から提供を受ける際の契約条項と社内統制

契約は確認資料と協力義務を支え、社内では相談受付から監査までつなげます。

契約条項は、確認義務の代替ではなく、確認を支える道具です。提供者が適法取得を表明保証するだけでは足りない場合があり、取得経緯資料、同意証跡、要配慮個人情報、苦情・当局照会への協力まで定めます。

次の一覧は、契約条項で支えるべき確認事項をまとめています。読者にとって重要なのは、受領者が法令上必要な確認・記録を行えるよう、提供者に資料提出と協力義務を置く点です。

1

適法取得と提供根拠の表明保証

提供者が、適用法令に従って適法かつ適正に取得し、受領者への第三者提供に必要な本人同意その他の根拠を有することを確認します。

表明保証根拠
2

確認資料の提供

取得経緯、本人同意の取得方法、本人への説明内容、データ項目、対象者範囲、オプトアウト手続などの資料提出を求めます。

資料説明
3

要配慮個人情報の事前明示

要配慮個人情報が含まれる場合は、事前に明示し、本人同意その他必要な手続の完了を示す資料を求めます。

高リスク同意
4

苦情・請求・当局照会への協力

本人からの苦情、利用停止請求、第三者提供停止請求、開示請求、当局照会が生じた場合の通知と協力を定めます。

本人対応協力
5

記録保存の許容

受領者が確認・記録を行うため、提供者から受領した資料と契約記録を法令上必要な期間保存できるようにします。

保存監査

次の時系列は、社内統制としてデータ受領を管理する順番を示しています。上から下へ進むにつれ、事業部門の相談受付から内部監査へ移ります。読者は、法務だけで完結せず、プライバシー、情報セキュリティ、内部監査と連動させる必要があると読み取ってください。

相談受付

事業部門から受領目的を聞き取ります

誰から、何を、何のために、どの方法で受け取るかをレビュー依頼時に確認します。

法務・プライバシー確認

適用要件と根拠を確認します

個人データ該当性、第三者性、例外、同意、オプトアウト、要配慮情報、外国関係を確認します。

セキュリティ確認

受領方法と保管場所を確認します

暗号化、アクセス権限、ログ、保管期間、削除、委託先システムを確認します。

承認・記録

台帳に登録して承認します

確認資料、契約、承認者、リスク判定、保存期限を紐付けます。

監査・事故対応

運用実態を定期的に確認します

台帳、契約、ログ、本人請求対応、問題発生時の利用停止や削除を確認します。

Section 08

第三者から提供を受ける際の受領前・受領後チェックリスト

20項目の受領前確認と10項目の受領後確認で、入口管理と利用開始前点検を分けます。

チェックリストは、受領前と受領後で目的が違います。受領前は受け取ってよいかを判断し、受領後は説明資料、アクセス制御、不要データ削除、保存期限、本人対応を整えます。

次の表は、受領前に確認すべき20項目を示しています。番号順に確認することで、情報の性質、第三者性、例外、根拠、契約、保存、セキュリティ、エスカレーションまで漏れを減らせます。読者は、空欄を自社の申請フォームや台帳に転記して使うことを想定してください。

No.受領前の確認項目
1外部から情報を受け取る案件かを確認します。
2情報に生存する個人に関する情報が含まれるかを確認します。
3受領時点または受領後に個人情報データベース等を構成するかを確認します。
4提供者は本人ではなく第三者かを確認します。
5委託、事業承継、共同利用のいずれかに該当するかを確認します。
6法令上の例外に該当するかを確認します。
7本人に代わる提供、本人の代理人、公開情報など対象外と整理できるかを確認します。
8提供者の名称・住所・代表者を確認します。
9取得経緯を確認します。
10本人同意または第三者提供根拠を確認します。
11オプトアウト提供の場合、届出・公表を確認します。
12要配慮個人情報が含まれないか確認します。
13個人関連情報が提供先で個人データ化されないか確認します。
14外国にある第三者・外国法制の論点を確認します。
15契約書に必要条項を入れたか確認します。
16記録台帳に登録する担当者を決めます。
17保存期間を設定します。
18受領方法・保管場所・アクセス権限を確認します。
19本人請求・苦情対応の窓口を確認します。
20高リスク案件としてエスカレーションすべきか判断します。

次の表は、受領後に確認すべき10項目を示しています。受領後は、実際のデータと事前説明が一致するか、不要データが混入していないか、記録やアクセス権限が整っているかが重要です。読者は、利用開始前の最終点検として読み取ってください。

No.受領後の確認項目
1実際に受け取ったデータ項目が事前説明と一致するかを確認します。
2件数、形式、対象者範囲に異常がないかを確認します。
3台帳に受領日、提供者、取得経緯等を記録します。
4同意書、規約、ログ、契約書等の証跡を保存します。
5不要データや対象外データを削除します。
6アクセス権限を必要最小限に設定します。
7目的外利用を防ぐラベル・分類を付けます。
8本人請求に備えて検索可能な状態にします。
9保存期限を設定し、削除予定を登録します。
10問題があれば提供者に照会し、利用を停止します。
Section 09

第三者から提供を受ける際の誤解、規程、中小企業対応

契約書任せ、公開情報任せ、法務部任せを避け、実際に動く統制にします。

第三者から提供を受ける際の確認では、契約書に適法取得と書いてあればよい、公開情報なら自由、グループ会社なら自由、個人関連情報なら関係ない、といった誤解がよく起きます。これらは、受領後の利用停止や削除、本人対応の負担につながります。

次の注意点一覧は、よくある誤解と修正すべき考え方を整理しています。各項目は一律の結論ではなく、確認が必要な入口を示しています。読者は、契約文言だけでなく、実態、証跡、利用目的、本人への影響を確認してください。

契約書の適法取得条項だけでは足りません

条項は重要ですが、リスクに応じて取得経緯、本人同意、データ項目、オプトアウト届出、サンプルも確認します。

公開情報でも自由利用とは限りません

公開情報でも個人情報に該当し得ます。不適正利用、目的外利用、スクレイピング、本人への影響を確認します。

グループ会社間でも自由共有とは限りません

法人格が別であれば第三者性を確認します。共同利用の要件や外国関係も確認します。

個人関連情報でも関係ないとは限りません

提供先で個人データとして取得されることが想定される場合は、同意確認等と接続します。

記録は法務部だけに置けばよいわけではありません

本人請求、監査、事故対応で検索できるよう、台帳、契約、証跡、ログを連携させます。

次の一覧は、企業規程と中小企業で最低限整えるべき事項を示しています。読者にとって重要なのは、規程が長いことではなく、受領時の相談窓口、承認者、台帳、保存期限、削除、事故対応が実際に動くことです。

規程項目

企業規程に入れるべき事項

対象データ、受領前審査、契約条項、台帳、保存期間、アクセス権限、目的外利用禁止、本人請求、事故対応、監査を定めます。

中小企業

小さく始める実装方法

取引前の簡易チェックシート、契約書の確認条項、共有フォルダの保存ルール、責任者の承認、削除期限から始めます。

専門職連携

役割ごとの視点

法務、プライバシー、情報セキュリティ、内部監査、M&A、税務、労務、知財の観点を、案件リスクに応じて追加します。

Section 10

第三者から提供を受けたデータの事故対応と標準書式

問題発覚時の停止、調査、影響評価、是正と、12の標準書式を整理します。

事故・違反が発覚した場合は、受け取ったデータの利用を続けるかどうかを急いで判断せず、提供者、取得経緯、本人同意、データ項目、影響範囲、削除要否、当局対応、本人対応を順に確認します。

次の時系列は、問題発覚後の初動を示しています。上から下へ進むほど、利用停止、事実確認、影響評価、再発防止へ移ります。読者は、営業利用や広告配信を続けたまま調査しないこと、証跡を保全することを読み取ってください。

発覚直後

利用を一時停止します

漏えい疑義、同意不明、取得経緯不明、要配慮情報混入が分かった場合は、対象データの利用・提供・広告配信を止めます。

事実確認

提供者と資料を確認します

契約、同意資料、取得手順、オプトアウト届出、サンプル、受領ログ、アクセスログを確認します。

影響評価

本人・当局・契約への影響を見ます

本人への影響、利用停止・削除、当局報告、契約違反、M&Aや監査への影響を整理します。

是正

再発防止と台帳修正を行います

不要データ削除、契約条項見直し、チェックリスト更新、教育、承認手順改善を実施します。

次の比較表は、企業が作成すべき標準書式を整理しています。標準書式が重要なのは、担当者ごとの判断ばらつきを減らし、後から説明できる証跡を揃えるためです。読者は、自社にない書式を優先順位づけしてください。

書式主な内容
データ受領申請書提供者、データ項目、利用目的、受領方法、保存先、担当者を記載します。
取得経緯確認書提供者がどのようにデータを取得したかを説明します。
本人同意確認書同意文面、取得方法、ログ、対象者範囲を確認します。
オプトアウト確認票届出、公表、本人停止窓口、対象外データを確認します。
要配慮個人情報確認票含有有無、同意、取得経緯、アクセス制限を確認します。
個人関連情報確認票提供先で個人データ化されるか、外部ID連携があるかを確認します。
外国関係確認票提供者所在地、外国法制、越境移転、委託先を確認します。
データ授受台帳受領日、提供者、データ項目、件数、保存期限を記録します。
契約条項チェック表表明保証、資料提供、苦情対応、保存、削除を確認します。
アクセス権限申請書利用者、権限範囲、ログ、削除期限を管理します。
本人請求対応記録開示、利用停止、第三者提供停止、苦情への対応を記録します。
事故対応記録発覚日時、影響範囲、停止措置、報告、再発防止を記録します。
Section 11

第三者から提供を受ける際の確認に関するFAQ

読者がつまずきやすい場面を、一般的な制度説明として整理します。

第三者から提供を受ける際の確認は、どのような場面で必要ですか。

一般的には、個人情報取扱事業者が第三者から個人データの提供を受ける場合に問題になります。ただし、本人からの取得、委託、事業承継、共同利用、法令上の例外などで整理が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

契約書に適法取得と書いてあれば十分ですか。

一般的には、契約条項は重要ですが、それだけで常に十分とはいえません。データの性質やリスクに応じて、取得経緯、本人同意、オプトアウト届出、プライバシーポリシー、サンプルなどを確認する必要があります。

公開情報を集めたリストでも確認が必要ですか。

一般的には、公開情報でも特定個人を識別できれば個人情報に該当し得ます。さらに検索可能なリストとして受領する場合、個人データとしての確認が問題になる可能性があります。利用目的や取得方法によって結論が変わります。

データベンダーから営業リストを買う場合、何を見ればよいですか。

一般的には、提供者の名称・住所・代表者、取得経緯、本人同意または提供根拠、オプトアウト届出、要配慮個人情報の有無、データ項目、契約保証、保存期間を確認します。高リスクな場合は専門家へ相談する必要があります。

受領記録はどのくらい保存しますか。

一般的には、契約書等によって記録を代替する場合は最後の提供または受領から原則1年、継続的・反復的な提供の一括記録やその他の通常記録は原則3年と整理されます。ただし、具体的な保存設計は提供態様で変わります。

受け取った後に問題が分かった場合はどうしますか。

一般的には、対象データの利用を一時停止し、提供者、取得経緯、同意資料、データ項目、影響範囲、削除要否を確認する対応が考えられます。ただし、本人対応、当局対応、契約対応は個別事情で変わるため、専門家へ相談する必要があります。

Reference

第三者から提供を受ける際の確認の参考資料

第三者から提供を受ける際の確認の結論は、外部データを受け取る前に、対象情報、提供者、取得経緯、本人同意または根拠、要配慮情報、個人関連情報、保存期間を確認し、後から説明できる証跡を残すことです。

次の重要ポイントは、最終確認で見るべき領域をまとめています。なぜ重要かというと、受領時の確認漏れは、利用停止、削除、本人対応、当局対応、取引先対応へ広がる可能性があるからです。読者は、データを受け取る前にこの5点を満たすか確認してください。

外部データは、受け取る前の確認が最も重要です

提供者の説明、取得経緯資料、本人同意または根拠、記録台帳、保存期限をそろえたうえで、利用開始後も目的外利用と不要データを管理します。

参考資料

  • 個人情報保護法
  • 個人情報保護委員会 通則ガイドライン
  • 個人情報保護委員会 Q&A
  • 個人情報保護委員会 第三者提供時の確認・記録義務に関する資料
  • 個人情報保護委員会 オプトアウト届出制度に関する公表資料
  • 個人情報保護委員会 個人関連情報に関する資料