企業法務・個人情報保護の実務で迷いやすい第三者提供を、具体例、例外、委託・共同利用、外国提供、記録義務まで一続きで確認します。
企業法務 ・個人情報保護の実務で迷いやすい第三者提供を、具体例、例外、委託・共同利用、外国提供、記録義務まで一続きで確認します。
個人データか、別主体か、利用できる状態にするかを起点に整理します。
第三者提供に該当するケースの具体例を判断するときは、対象情報が個人データに当たるか、自社とは別の法人・個人・団体が利用できる状態になるかを最初に確認します。グループ会社、親会社、子会社、フランチャイズ加盟店、広告プラットフォーム、海外本社などは、近い関係に見えても別主体として扱うのが出発点です。
次のポイント一覧は、このページ全体で繰り返し使う判断軸を表しています。企業の実務では、関係性の近さではなく、相手が独自目的で個人データを使えるかを読むことが重要です。各項目から、同意、委託、共同利用、事業承継、外国提供のどの整理へ進むかを確認してください。
氏名やメールアドレスだけでなく、会員ID、購入履歴、問い合わせ履歴、利用ログも、検索できるデータベースを構成していれば個人データになり得ます。
親会社、子会社、兄弟会社、販売代理店、加盟店、外部専門家でも、同一法人でなければ第三者に当たる前提で検討します。
メール送信やファイル転送だけでなく、クラウド共有、API接続、外部アカウント付与、検索権限の付与も提供として検討します。
要件を満たす場合は第三者に該当しない整理が可能です。ただし、契約名ではなく実態で判断されます。
海外本社、海外クラウド、海外BPO、海外広告事業者に提供する場合は、国内提供に加えて外国第三者提供の検討が必要です。
この重要ポイントは、第三者提供に該当する場合でも同意が常に必要とは限らないことを表しています。読者にとって重要なのは、同意が必要な場面、同意不要の例外、第三者に該当しない整理を混同しないことです。中央の結論から、まず法的構成を分ける必要があると読み取ってください。
法令に基づく提供や生命・身体・財産保護のための提供は、第三者提供に該当しても同意不要となる場合があります。一方、委託、事業承継、共同利用は、要件を満たすと第三者に該当しないものとして整理されます。
個人情報、個人データ、第三者、提供、同意、個人関連情報を切り分けます。
用語の違いを押さえると、同じデータ移転でも結論が変わる理由を理解しやすくなります。次の比較表は、第三者提供の検討で最初に確認する概念を表しています。読者にとって重要なのは、個人情報全般ではなく、通常は個人データの提供が規制の中心になる点を読み取ることです。
| 用語 | 意味 | 実務で見る例 |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名などにより特定個人を識別できる情報、または個人識別符号を含む情報です。 | 氏名、部署、役職、メールアドレス、顧客番号、購入履歴、問い合わせ履歴などです。 |
| 個人情報データベース等 | 個人情報を含む情報の集合物で、コンピュータ検索や体系的な紙整理により容易に検索できるものです。 | CRM、会員データベース、従業員名簿、採用管理表、名刺管理システム、EC購入履歴です。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。第三者提供規制の中心になります。 | 顧客一覧CSV、会員リスト、メール配信システム内の会員情報、応募者情報です。 |
| 第三者 | 本人と個人データを取り扱う事業者自身以外の者です。 | 親会社、子会社、販売代理店、加盟店、広告代理店、SaaS事業者、外部専門家です。 |
| 提供 | 相手方が個人データを利用できる状態に置くことを広く含みます。 | メール添付、クラウド共有、API連携、外部アカウント付与、閲覧権限付与です。 |
| 本人の同意 | 本人が自らの個人データが第三者に提供されることを承諾する意思表示です。 | 同意書、Webフォームのチェック、アプリの同意ボタン、メール返信、電話音声などです。 |
| 個人関連情報 | 単独では特定個人を識別しないことがあるものの、提供先で個人データ化される可能性がある情報です。 | Cookie ID、広告ID、端末ID、IPアドレス、閲覧履歴、位置情報、購買傾向データです。 |
個人データ性、相手方、利用可能性、第三者非該当、同意不要例外の順に確認します。
次の判断の流れは、社内相談や新規施策を受けたときに、どの順番で確認すればよいかを表しています。順番が重要なのは、個人データではないもの、同一法人内の共有、委託として整理できるものを、いきなり本人同意の問題にしないためです。上から下へ読み、途中で該当する整理があるかを確認してください。
氏名、連絡先、ID、購買履歴、問い合わせ履歴などが検索可能なデータベースを構成しているかを見ます。
同一法人内の部署間共有か、親会社・子会社・委託先・提携先など別主体への移転かを見ます。
送付、共有、閲覧権限、API、外部アカウント、広告連携により、検索・分析・取得できるかを見ます。
委託、事業承継、共同利用として要件を満たすかを実態で確認します。
第三者提供に該当する場合でも、法令、人命・財産保護、公衆衛生、公的機関協力などの例外を検討します。
個人を識別できない統計情報や、まだ検索可能なデータベースを構成していない一枚の申込書は、個人データの第三者提供規制とは別に整理される場合があります。ただし、秘密保持、労務、消費者保護、電気通信、金融、医療などの別規制が問題になることはあります。
次の比較表は、第三者提供に該当しやすい典型場面を表しています。営業・マーケティング施策では、提供先が自社目的で利用するかが重要です。左列で場面を見つけ、中央列で該当性、右列で実務上の確認点を読み取ってください。
| 場面 | 判断の方向性 | 実務対応 |
|---|---|---|
| 顧客リストを業務提携先に渡す | B社が自社サービス案内などの営業・広告目的で利用するなら、典型的に第三者提供です。 | 提供先の範囲、提供目的、提供項目、提供方法、撤回・停止方法を具体化して、原則として事前同意を取得します。 |
| 親会社・子会社・グループ会社に共有する | 別法人であれば原則として第三者です。グループ全体の分析やクロスセル目的では特に注意します。 | 本人同意、共同利用、委託構成のいずれかを検討します。親会社自身の目的利用がある場合は委託と整理しにくくなります。 |
| フランチャイズ本部と加盟店で会員情報を共有する | 本部と加盟店は通常別主体です。加盟店自身の営業利用があれば第三者提供に該当し得ます。 | 共通アプリ、ポイント、予約、来店履歴分析について、本人向け表示と実際のデータ移転を一致させます。 |
| 競合他社や業界団体と不正利用者情報を共有する | 特定個人を識別できる情報交換は第三者提供に該当し得ます。 | 同意、法令根拠、人の生命・身体・財産保護例外、独占禁止法、名誉・信用毀損、業界規制を併せて見ます。 |
| 顧客名簿・会員名簿・卒業生名簿を販売する | 名簿データベースの販売は典型的な第三者提供です。 | 同意またはオプトアウト方式の要件を確認します。要配慮個人情報や不正取得データなどは特に慎重です。 |
| 退職者の在籍期間・勤務状況を照会先へ回答する | 従業員データベース等に含まれる情報であれば第三者提供に該当し得ます。 | 照会先、回答項目、回答方法について本人同意を取得し、退職理由、評価、懲戒、病歴などは特に限定します。 |
| イベント共催者・スポンサーに参加者リストを渡す | スポンサーが自社営業に利用するなら第三者提供です。 | 申込画面で主催者、共催者、協賛者、事務局代行会社を区別し、提供先、利用目的、提供項目を明示します。 |
| 広告配信プラットフォームにメールアドレス等をアップロードする | ハッシュ化されていても、照合して広告配信に使う場合は第三者提供または個人関連情報提供が問題になります。 | 顧客向け表示、同意、規約、保持期間、再利用、外国移転、サブプロセッサを確認します。 |
次の注意要素の一覧は、第三者提供に該当しやすい案件で見落としやすい観点を表しています。読者にとって重要なのは、データを渡す方法より、相手方の目的利用と本人の認識のずれを見つけることです。各項目から、表示、契約、権限、記録のどこを確認するかを読み取ってください。
提携先やスポンサーが自社の営業、分析、広告目的で使う場合は、委託ではなく第三者提供として検討します。
「サービス向上」や「提携先と共同利用」だけでは、提供先や項目が分からず不十分となる場合があります。
ファイルを送らなくても、外部者が閲覧・検索・分析できる状態なら提供として問題になります。
提供先で照合できるハッシュ値は、匿名統計情報と同じ扱いにできるとは限りません。
次の比較表は、第三者提供に該当しない整理があり得る場面と、条件次第で第三者提供になる場面を表しています。読者にとって重要なのは、契約書の名称ではなく、相手が自社目的でデータを使うかどうかです。各行から、委託先監督、目的外利用禁止、段階的開示、外国提供の確認点を読み取ってください。
| 場面 | 判断の方向性 | 実務対応 |
|---|---|---|
| 外部コールセンターに顧客情報を渡す | 問い合わせ対応だけなら委託として整理できる可能性が高いです。 | 利用目的、取扱範囲、再委託、秘密保持、安全管理、ログ、事故報告、返却・削除を契約で定めます。 |
| 配送会社に配送先情報を渡す | 商品発送のための配送業務委託として、第三者に該当しない整理が通常です。 | 配送会社が自社営業や別サービス案内に使わないよう、利用目的と送り状管理を確認します。 |
| 給与計算・社会保険手続を外部専門家に委託する | 委託として整理できる場合が多いです。 | 従業員への利用目的通知、委託契約、秘密保持、再委託管理、マイナンバーを含む場合の厳格管理を確認します。 |
| 外部専門家へ資料を渡す | 会社目的の処理なら委託として整理できることがありますが、裁判所・当局・相手方への開示では別検討です。 | 専門家限りか、裁判所・当局・相手方・第三者委員会報告書へ広がるかを区別し、要配慮情報を最小限にします。 |
| M&Aデューデリジェンスで買主候補へ開示する | 一定の措置があれば、事業承継に関連する提供として整理できる場合があります。 | 初期は匿名化・集計化・マスキングを優先し、NDA、目的外利用禁止、アクセス者限定、返却・削除義務を定めます。 |
| 会社分割・事業譲渡で顧客データを移転する | 事業承継に伴う提供として、一定要件の下で第三者に該当しない扱いになります。 | 承継前の利用目的の範囲、顧客向け通知、承継会社情報、問い合わせ窓口、業法対応を整理します。 |
| 共同利用としてグループCRMを構築する | 要件を満たせば第三者に該当しない整理が可能です。 | 共同利用する旨、項目、共同利用者の範囲、利用目的、管理責任者の名称・住所・代表者氏名等を示します。 |
| 外部SaaS・クラウドに顧客データを保存する | SaaSが自社目的で分析・学習・広告利用するなら、第三者提供や外国提供が問題になります。 | 規約、データ処理契約、保存国、サブプロセッサ、自社目的利用、削除機能、監査ログを確認します。 |
| 保守会社に本番データへの管理者権限を与える | 保守委託として整理できても、アクセス制御と委託先監督が重要です。 | 必要時のみ一時権限、マスキング済みデータ、ログ取得、再委託先、海外サポート拠点、緊急アクセスルールを確認します。 |
| API連携で外部事業者が顧客情報を取得する | 相手が自社サービスや営業目的で利用するなら第三者提供に該当し得ます。 | データ項目、保存期間、再提供、撤回方法、同意画面、OAuth等の認可画面を具体化します。 |
| 採用応募者情報を外部企業へ紹介・共有する | 別法人の採用目的で使うなら第三者提供に該当し得ます。 | 応募フォームで提供先企業の範囲と利用目的を明記し、不採用者データの保存期間と再利用範囲を定めます。 |
| 従業員情報を親会社や海外本社へ報告する | 海外本社が別法人なら第三者提供に該当し得ます。外国提供規制も問題になります。 | 本人同意、相当措置、グループ内規程、継続的確認、本人からの情報提供請求対応を整えます。 |
次の時系列は、M&Aや事業承継で個人データを開示する際の段階的な対応を表しています。早い段階ほど相手の確度が低いため、読者にとっては開示量を抑える発想が重要です。上から順に、匿名化、契約、限定開示、破談時対応へ進む流れを読み取ってください。
従業員評価、疾病、懲戒、労組、通報、退職勧奨などの情報は、初期段階では特に開示を抑えます。
複製制限、アクセス者限定、漏えい時報告、返却・削除義務を定めてから詳細資料を開示します。
交渉が終了した場合は、開示資料の返却・削除、アクセス権限の停止、ログ保存を確認します。
同一法人内共有、委託、事業承継、共同利用、法令例外を混同しないよう整理します。
次の一覧は、第三者に該当しないものとして扱われる代表例を表しています。読者にとって重要なのは、同意が不要な例外ではなく、そもそも第三者に該当しない整理である点です。それぞれ要件を満たしているかを読み取ってください。
営業部から法務部、カスタマーサポート部から品質保証部、人事部から経理部への共有は、通常は第三者提供ではありません。ただし、利用目的とアクセス管理は別途確認します。
配送、データ入力、情報処理、給与計算、システム保守などを、利用目的の達成に必要な範囲で任せる場合です。委託先監督が必要です。
共同利用者の範囲、項目、利用目的、管理責任者を本人が確認できる形にしたうえで、特定範囲内で利用します。
本人が自ら入力して相手方に渡る場合や、本人依頼に基づく取次ぎは、事業者間の第三者提供とは別整理になることがあります。
次の比較表は、第三者提供に該当し得るものの、本人同意なしで提供できる場合がある場面を表しています。読者にとって重要なのは、例外があっても範囲を無制限に広げないことです。各行から、根拠、必要性、本人同意取得の困難性、提出範囲を確認してください。
| 例外・場面 | 考え方 | 確認点 |
|---|---|---|
| 法令に基づく場合 | 裁判所命令、捜査機関からの法令に基づく照会、弁護士会照会、税務調査、労働基準監督署の調査などです。 | 法的根拠、任意協力か法的義務か、必要範囲、要配慮情報、本人通知を控える理由、社内決裁を確認します。 |
| 人の生命・身体・財産保護 | 急病、事故、災害、行方不明、重大な危険で、同意取得が困難な場合です。 | 緊急連絡先、家族連絡同意、緊急時対応規程、提供記録、連絡範囲を平時から整備します。 |
| 公衆衛生・児童健全育成 | 感染症対策、虐待防止、児童・生徒の安全確保、保健指導などで公益上の必要性が高い場合です。 | 目的と範囲を限定し、本人同意取得が困難な事情と記録を残します。 |
| 国・地方公共団体等への協力 | 法令で定める事務の遂行に協力が必要で、本人同意で支障が出る場合です。 | 照会根拠、提供範囲、社内記録、提出後の管理を確認します。 |
| 学術研究関連の例外 | 学術研究機関等による学術研究目的の取扱いには、一定要件の下で例外があります。 | 企業が研究開発、AI開発、マーケティング分析を研究と呼ぶだけでは足りません。研究主体、目的、本人権利利益を確認します。 |
| 会社イベント写真の掲載 | 写真が個人情報データベース等を構成しない場合、個人データの第三者提供規制とは別整理になることがあります。 | 撮影・掲載目的の告知、写り込み回避、名札・顔・資料・PC画面への配慮、撤回・削除対応を整えます。 |
| 公表済み代表者名の伝達 | 会社Webサイトで公表された代表者の氏名・役職を取引上伝える場合、項目や態様により同意推認の余地があります。 | 住所、生年月日、家族、資産、信用、健康、私生活情報を組み合わせる場合は慎重に検討します。 |
海外本社、海外クラウド、海外BPO、海外広告事業者への提供は国内提供だけでは足りません。
次の判断の流れは、外国にある第三者へ個人データを提供する場合に追加で確認する項目を表しています。読者にとって重要なのは、国内の第三者提供の根拠があっても、外国提供の情報提供や相当措置を別に確認する必要がある点です。各段階から、国名、保護制度、提供先の措置、継続的確認へ進む順番を読み取ってください。
海外本社、海外子会社、海外クラウド、海外BPO、海外広告プラットフォームが対象になります。
運営会社所在地だけでなく、サーバー、サブプロセッサ、海外サポート拠点も見ます。
外国提供を認識した同意、または相当措置を継続的に講ずる体制があるかを確認します。
外国の制度、提供先の措置、問い合わせ対応、インシデント時の報告・通知体制を確認します。
外国提供同意を取得する場合には、外国名、当該外国の個人情報保護制度、提供先が講ずる措置などを本人に分かりやすく示す必要があります。国名や措置を特定できない場合は、その旨と理由の説明も問題になります。
相当措置による提供では、契約、グループ内規程、国際認証、継続的確認、本人からの求めに応じた情報提供が重要です。政府アクセス、データローカライゼーション、越境移転制限など現地制度も確認します。
個人データではないように見える情報も、提供先で個人データ化される場合があります。
次の3つの整理は、Cookie ID、広告ID、端末ID、閲覧履歴、位置情報、購買傾向、セグメント情報を扱う際の違いを表しています。広告や分析では技術用語に引っ張られやすいため、読者にとっては誰が取得し、誰が個人データ化するかを読むことが重要です。番号順に、提供元、タグ設置、提供先の照合を確認してください。
単独では個人情報でないCookie等でも、提供先で会員IDやメールアドレスと紐づくことが想定される場合は、個人関連情報の第三者提供規制が問題になります。
個人関連情報A社が閲覧履歴を取得・保持・提供しているのか、B社が直接取得しているのかで整理が変わります。ただし外部送信規律やCookie同意は別途問題になります。
外部送信B社が会員情報と照合して個人データとして取得することが想定される場合、A社側にはB社の本人同意取得等を確認する義務が生じ得ます。
同意確認提供側・受領側の記録、保存期間、例外、社内証跡を整理します。
次の比較表は、第三者提供時に提供側と受領側で確認・記録する事項を表しています。読者にとって重要なのは、同意の有無だけでなく、後から説明できる証跡を残すことです。提供形態ごとの記録方法、保存期間、例外の扱いを読み取ってください。
| 区分 | 主な内容 | 実務上の証跡 |
|---|---|---|
| 提供側の記録義務 | 個人データを第三者に提供した場合、一定事項の記録を作成・保存する義務が生じることがあります。 | 紙、電子データ、契約書、一括記録、システムログ、同意画面キャプチャです。 |
| 受領側の確認・記録義務 | 提供元の氏名・名称、住所、取得経緯などを確認し、記録する義務が生じることがあります。 | 提供元確認、取得経緯確認、名簿業者・広告代理店・データブローカーからの受領記録です。 |
| 保存期間 | 契約書等による代替記録、一括記録、その他の記録で保存期間が分かれます。 | 第三者提供台帳、同意ログ、契約書、システムログ、申込画面キャプチャを保存します。 |
| 記録義務の例外 | 法令に基づく提供、本人による提供、本人に代わる提供、委託、事業承継、共同利用などでは対象外となる場合があります。 | 対象外でも、社内統制、説明責任、事故対応のための証跡を残すことが有効です。 |
次の時系列は、第三者提供の証跡をどの段階で残すかを表しています。読者にとって重要なのは、提供後に慌てて記録を作るのではなく、同意、契約、実行、停止までを一続きで管理することです。順番から、台帳とログの保存タイミングを読み取ってください。
提供先、目的、項目、本人同意、法令例外、共同利用、委託、外国提供の有無を確認します。
CSV送付、API、管理画面、クラウド共有などの方法と、提供データ項目・本人数を残します。
同意撤回、提供停止、契約終了時の返却・削除、委託先・共同利用先・外国提供先の変更を確認します。
高い、低い、条件付き、事案次第の違いを一目で確認します。
次の実務判断表は、このページで扱う具体例を該当性の強さごとに整理したものです。読者にとって重要なのは、「高い」場面では同意や法的根拠を先に確認し、「低い」場面でも委託先監督を軽視しないことです。中央列で該当性、右列で主要論点を読み取ってください。
| 具体例 | 第三者提供該当性 | 本人同意の要否・主な論点 |
|---|---|---|
| 顧客リストを提携先の営業目的で渡します | 高い | 原則として事前同意が必要です。提供先・目的・項目を明示します。 |
| 親会社へ子会社顧客データを渡し、親会社が分析・営業利用します | 高い | グループ会社でも別法人です。共同利用または同意等を検討します。 |
| フランチャイズ本部と加盟店で会員データを共有します | 高い | 加盟店自身の営業利用なら第三者提供です。共同利用設計が必要です。 |
| 業界団体で悪質顧客リストを共有します | 高い | 同意、法令根拠、生命・財産保護例外等を慎重に検討します。 |
| 名簿データベースを販売します | 高い | 同意またはオプトアウト要件を確認します。要配慮情報等は特に注意します。 |
| 退職者の勤務状況を転職先に回答します | 高い | 原則として本人同意を取得し、回答項目を限定します。 |
| スポンサーにセミナー参加者リストを渡します | 高い | 申込時にスポンサー提供を明示し、同意取得を検討します。 |
| 広告プラットフォームへ顧客メールアドレスをアップロードします | 高い | 第三者提供・個人関連情報・委託該当性を検討します。 |
| 配送会社に配送先情報を渡します | 低い | 通常は委託です。委託先監督が必要です。 |
| コールセンターに問い合わせ対応を委託します | 低い | 委託範囲内なら第三者に該当しません。目的外利用禁止が重要です。 |
| 給与計算を社労士・BPOに委託します | 低い | 委託として整理可能です。マイナンバーは別途厳格管理します。 |
| M&Aデューデリジェンスで買主候補に必要資料を開示します | 条件付きで低い | 事業承継関連として整理可能な場合があります。NDA・目的外利用禁止・削除義務が重要です。 |
| 会社分割・事業譲渡で顧客データを承継会社へ移転します | 条件付きで低い | 事業承継です。承継前利用目的の範囲に注意します。 |
| 共同利用の要件を満たしてグループCRMを使います | 低い | 必要事項の通知・容易に知り得る状態が前提です。 |
| 同一法人内で営業部から法務部へ共有します | 原則なし | 第三者提供ではありませんが、利用目的・アクセス管理に注意します。 |
| 警察・検察・裁判所等へ法令に基づき提出します | 該当し得る | 法令例外で同意不要の場合があります。提出範囲は限定します。 |
| 急病者情報を家族・医療機関へ伝えます | 該当し得る | 生命・身体保護例外で同意不要の場合があります。 |
| 会社イベント写真をWeb掲載します | 事案次第 | 個人データでなければ第三者提供規制外の場合があります。肖像権・プライバシーに注意します。 |
| 公表済み代表者名を取引上伝えます | 事案次第 | 公表態様・項目により同意推認の余地があります。ただし過剰利用は避けます。 |
グループ会社、委託契約、ハッシュ化、公表情報、閲覧権限、包括同意の落とし穴を確認します。
次の注意要素の一覧は、第三者提供の判断で見落とされやすい誤解を表しています。読者にとって重要なのは、形式的なラベルではなく、本人の合理的な認識と実際のデータ利用のずれを見つけることです。各項目から、施策開始前に潰すべき論点を読み取ってください。
親会社、子会社、関連会社は、経営上は一体的に見えても別法人です。共同利用、同意、委託構成、事業承継構成を明確にします。
契約書のタイトルが業務委託でも、委託先が自社目的で利用するなら委託とは評価されにくくなります。
提供先が照合・復元・識別できる場合、個人データ性や個人関連情報性が否定されるとは限りません。
公表情報でも個人情報に当たります。データベース化、販売、プロファイリング、本人の合理的期待を確認します。
共有フォルダ、CRMゲストアカウント、BIツールなどで外部者が利用できる状態なら、提供として検討します。
提供先、目的、項目、方法が大きく変わる場合、過去の包括同意で足りるかを慎重に検討します。
次の比較表は、第三者提供のリスクを減らすために整備する文書と管理資料を表しています。読者にとって重要なのは、法務文書だけでなく、実際のシステム連携や運用ログまで一体で管理することです。左列で文書名、中央列で入れる内容、右列で見落としやすい点を読み取ってください。
| 整備項目 | 入れる内容 | 注意点 |
|---|---|---|
| プライバシーポリシー | 取得項目、利用目的、第三者提供、提供先、提供目的、項目、方法、共同利用、委託、外国提供、安全管理、開示等請求、窓口です。 | 抽象表現に寄せすぎず、本人が提供の実態を理解できる粒度にします。 |
| 同意取得画面・同意書 | 重要な第三者提供について、申込画面、契約書、アプリ画面、キャンペーン応募画面で個別に表示します。 | プライバシーポリシーへのリンクだけで十分とは限りません。 |
| 委託契約・データ処理契約 | 委託範囲、個人データ項目、利用目的限定、目的外利用禁止、第三者提供禁止、再委託、安全管理、事故報告、返却・削除、外国移転を定めます。 | 委託先が自社目的で利用しないかを規約・契約で確認します。 |
| 共同利用に関する公表文 | 共同利用者の範囲、データ項目、利用目的、管理責任者を本人が容易に確認できる形で示します。 | 「当社グループ会社」「提携先」だけでは範囲が不明確になる場合があります。 |
| 第三者提供台帳 | 提供日、提供元部署、提供先、住所、代表者または担当部署、目的、項目、本人数、法的根拠、同意取得方法、外国提供、契約書番号、方法、停止対応、保存期間です。 | 同意ログ、画面キャプチャ、契約番号と結び付けます。 |
| データマッピング表 | どのシステムから、どのデータが、どの相手に、何のために、どの国へ流れるかを一覧化します。 | 見落としは契約書ではなく、API、外部タグ、SaaS管理画面、CSV送付から発生しやすいです。 |
法務、プライバシー担当、営業、情報システム、人事、内部監査で見る観点を分けます。
次の比較表は、部門ごとに第三者提供リスクを発見する観点を表しています。読者にとって重要なのは、法務部門だけでは実際のデータ移転を把握しきれないことです。各部門がどの情報を持ち、どの場面で法務・プライバシー担当へ連携するかを読み取ってください。
| 部門 | 確認すること | 問題になりやすい場面 |
|---|---|---|
| 法務部門 | 該当性、本人同意、例外、委託・共同利用・事業承継、契約条項、記録義務、外国提供、事故対応を確認します。 | 契約レビューだけでなく、実際のデータ移転を事業部門とシステム部門から確認します。 |
| 個人情報保護・プライバシー担当 | プライバシーポリシー、同意画面、データマップ、PIA、DPIA、研修、本人請求、委託先管理、海外移転管理を担います。 | 本人の期待と企業の利用実態がずれる領域を確認します。 |
| 営業・マーケティング部門 | リード共有、展示会名刺、共同セミナー、広告連携、メール配信、MAツール、代理店共有、紹介制度を確認します。 | 施策開始前に提供先、項目、同意、オプトアウト、外国提供を確認します。 |
| 情報システム・セキュリティ部門 | アクセス権限、ログ、API、クラウド、外部タグ、データレイク、バックアップ、海外リージョン、保守会社アクセスを確認します。 | 法務上は提供していないつもりでも、外部ベンダーが閲覧可能な場合があります。 |
| 人事・労務部門 | 従業員情報、評価、報酬、健康情報、懲戒、ハラスメント、内部通報、退職者照会、海外本社報告を確認します。 | 従業員との力関係が非対称なため、同意の任意性も慎重に評価します。 |
| 内部監査・コンプライアンス部門 | 第三者提供台帳、委託先管理、共同利用公表、同意ログ、外国移転台帳、広告タグ、SaaS棚卸し、事故記録を監査します。 | 個人情報保護法対応を全社的な内部統制として運用します。 |
15の判断順序と、提供前・提供後の確認項目を整理します。
次の判断の流れは、自社案件に第三者提供の論点を当てはめる際の確認順序を表しています。読者にとって重要なのは、同意の有無だけで終わらせず、個人データ性、相手方、例外、外国提供、記録、追加規制まで順に見ることです。上から下へ、社内審査の確認順序として読み取ってください。
生存する個人に関する情報か、識別できるか、データベースを構成するか、個人データかを確認します。
相手方が別法人・別主体か、閲覧・取得・検索・分析・利用できる状態になるかを確認します。
委託、事業承継、共同利用、本人同意、法令例外、オプトアウト方式のいずれで整理するかを確認します。
外国にある第三者への提供か、確認・記録義務があるかを確認します。
契約・表示・ログ・台帳・社内決裁、本人の合理的期待、業法・守秘義務・労務・消費者保護・独禁法等を確認します。
次の比較表は、提供前と提供後で確認すべき項目を表しています。読者にとって重要なのは、提供後にも停止、削除、変更、本人請求への対応が続くことです。左列でタイミングを分け、右列で自社の台帳や運用に不足がないかを読み取ってください。
| タイミング | 確認項目 |
|---|---|
| 提供前チェック | 提供データ項目、個人データ・要配慮個人情報・個人関連情報の区別、提供先の法人名・所在地・利用目的、外国提供、本人同意、共同利用公表、委託契約、事業承継のNDA、オプトアウト、確認・記録義務、提供停止・撤回対応を確認します。 |
| 提供後チェック | 提供記録、同意ログ、画面キャプチャ、提供先の利用状況、委託先・共同利用先・外国提供先の変更、事故時報告ルート、契約終了時の返却・削除、本人からの開示・訂正・利用停止・第三者提供停止請求への対応を確認します。 |
個別案件の結論ではなく、一般的な判断枠組みとして整理します。
一般的には、別法人であるグループ会社へ個人データを利用できる状態にする場合、第三者提供として検討するとされています。ただし、共同利用の要件を満たす場合や、委託・事業承継として整理できる場合など、実態によって結論が変わる可能性があります。具体的な対応は、データ項目、利用目的、本人向け表示、契約関係を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、利用目的の達成に必要な範囲で個人データの取扱いを委託し、委託先が自社目的で利用しない場合には、第三者に該当しない委託として整理されることがあります。ただし、委託先の自社利用、再委託、他データとの突合、AI学習、広告利用などがあると結論が変わる可能性があります。具体的な対応は、契約書と実際の処理内容を確認したうえで弁護士等の専門家へ相談する必要があります。
一般的には、ハッシュ化されていても提供先で照合され、特定利用者に紐づけて広告配信に利用される場合、第三者提供または個人関連情報提供の問題が生じ得るとされています。ただし、技術仕様、提供先の利用目的、本人同意、規約、外国移転の有無によって結論は変わります。具体的な対応は、広告連携の仕様と本人向け表示を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、法令に基づく提供として本人同意が不要となる場合があります。ただし、照会の根拠、任意協力か法的義務か、提供が必要な範囲か、要配慮個人情報の有無、本人通知を控える理由などによって判断が変わります。具体的な対応は、照会書面と対象データを確認したうえで弁護士等の専門家へ相談する必要があります。
一般的には、写真が個人情報データベース等を構成していない場合、個人データの第三者提供規制そのものとは別に整理されることがあります。ただし、顔や名札で特定個人を識別できる場合、利用目的、本人の合理的期待、肖像権、プライバシー、SNSでの拡散性などが問題になります。具体的な対応は、撮影告知、掲載範囲、削除対応を整理したうえで弁護士等の専門家へ相談する必要があります。
個人情報保護委員会のガイドラインとQ&Aを中心に整理しています。