個人データを第三者に提供する場面と、第三者から受け取る場面について、記録事項、保存期間、例外、社内実装を体系的に整理します。
個人データを第三者に提供する場面と、第三者から受け取る場面について、記録事項、保存期間、例外、社内実装を体系的に整理します。
提供側と受領側で異なる義務を、まず実務判断の地図として整理します。
第三者提供記録の作成義務と保存は、個人データがどこから来て、どこへ渡ったのかを後からたどるための制度です。営業、マーケティング、人事、M&A、SaaS連携、グループ会社間の共有などで個人データが動く企業では、同意の有無だけでなく、第三者提供該当性、例外、記録事項、保存期間、証跡の検索性まで一体で設計する必要があります。
次の比較表は、このページで扱う主要論点を一覧にしたものです。各行は判断すべき対象と実務上の要点を示しており、どの場面で記録義務や確認義務が問題になるかを最初に読み取ることが重要です。
| 論点 | 実務上の要点 |
|---|---|
| 対象となる情報 | 原則として個人データが対象です。単なる個人情報ではなく、個人情報データベース等を構成する情報かを確認します。 |
| 対象となる行為 | 個人データを第三者に提供する場合、または第三者から提供を受ける場合に問題となります。 |
| 提供側の義務 | 提供年月日、提供先、本人識別事項、提供した個人データの項目、同意や提供根拠を記録します。 |
| 受領側の義務 | 提供元の名称、住所、代表者、取得経緯、本人同意等の根拠を確認し、受領内容とともに記録します。 |
| 記録方法 | 紙、電子記録、契約書、申込書、システムログ、送信履歴、社内台帳などを組み合わせられます。 |
| 保存期間 | 通常の記録は作成日から3年間が基本です。契約書等による代替記録は最後の提供・受領から1年、一括記録は最後の提供・受領から3年などの整理があります。 |
| 例外と対象外 | 法令例外、生命・身体・財産保護、公衆衛生、国等への協力、委託、事業承継、共同利用、本人による提供、単なる閲覧などを慎重に判定します。 |
| 実務上の核心 | 本人同意だけでは足りません。記録義務の有無、必要項目、保存起算日、検索性、証跡保全まで管理する必要があります。 |
次の3つの項目は、制度の目的を実務上の言葉に置き換えたものです。なぜ記録を残すのかを理解しておくと、台帳やログを形式的に作るだけでなく、監査や本人請求に耐える証跡設計へつなげられます。
提供側と受領側の双方に確認・記録を求めることで、出どころの不明な名簿や本人関与が曖昧な個人データの流通を抑える考え方です。
漏えい、苦情、当局照会が起きたとき、誰が、いつ、誰に、どの個人データを渡したかを確認できる状態を目指します。
取締役会、監査役、親会社、買収候補先、外部専門家、監督当局に対し、データ管理の相当性を説明する材料になります。
第三者提供記録は、単なる法定帳簿ではなく、企業の個人情報ガバナンスを支える証跡です。個人情報保護対応をプライバシーポリシーの整備だけで終わらせず、日々の取引、契約、システム連携、監査に組み込む視点が求められます。
個人情報、個人データ、第三者提供を区別すると、記録義務の入口判断が安定します。
第三者提供記録の作成義務と保存を正確に判断するには、似た用語を混同しないことが重要です。次の表は、入口で確認すべき用語と実務上の見方をまとめています。対象情報がどの段階で個人データになり、どの相手が第三者に当たるかを読み取ってください。
| 用語 | 意味と実務上の見方 |
|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号を含むものを指します。メールアドレス、ユーザーIDと行動履歴の組み合わせも個人情報になり得ます。 |
| 個人情報データベース等 | 個人情報を含む情報の集合物で、コンピュータや索引などにより検索できるよう体系的に構成されたものを指します。CRM、会員DB、メール配信リスト、採用候補者管理表などが問題になります。 |
| 個人データ | 個人情報データベース等を構成する個人情報を指します。第三者提供記録の作成義務と保存では、この個人データ該当性が重要な出発点です。 |
| 個人情報取扱事業者 | 個人情報データベース等を事業の用に供している者を指します。営利企業だけでなく、団体、士業事務所、医療機関、教育機関なども該当し得ます。 |
| 第三者 | 原則として本人および当該個人データを取り扱う事業者以外の者です。親会社、子会社、グループ会社でも別法人であれば第三者に当たり得ます。 |
| 第三者提供 | 個人データを本人以外の第三者に提供することです。メール送信、API連携、クラウド共有、紙での交付、閲覧権限付与など形式は問いません。 |
| 第三者提供記録 | 個人データを第三者に提供した場合、または第三者から提供を受けた場合に、法令・規則・ガイドラインに基づいて作成・保存する記録です。 |
次の判断の流れは、用語を実際の案件に当てはめる順番を示しています。上から確認することで、個人情報に見える情報が本当に記録義務の対象になるか、どこで例外検討へ進むかを読み取れます。
氏名、ID、履歴、属性などから特定個人を識別できるかを見ます。
CRM、台帳、スプレッドシート、SaaSなどで体系的に管理されているかを見ます。
別法人、提供元、提供先、本人、委託先、共同利用先の位置づけを整理します。
提供側・受領側の事項、保存期間、証跡を設計します。
委託、共同利用、本人による提供などの根拠を社内記録に残します。
手元の一枚の名刺や単発のメモが常に個人データになるわけではありません。ただし、名刺情報を名刺管理システムや営業管理表に登録すれば個人データになり得ます。受領時点では単発情報に見えても、その後の業務プロセスでデータベース化される場合は慎重に確認します。
個人情報保護法29条・30条を中心に、関連条文とのつながりを見ます。
第三者提供記録の作成義務と保存では、第三者提供規制だけでなく、提供側の記録、受領側の確認・記録、個人関連情報、本人開示請求がつながります。次の表は関連条文の役割を示しており、どの主体に何が求められるかを読み取るために重要です。
| 条文 | 内容の概要 | 主な主体 |
|---|---|---|
| 個人情報保護法29条 | 個人データを第三者に提供したときの記録作成・保存義務を定めます。 | 提供側の個人情報取扱事業者 |
| 個人情報保護法30条 | 第三者から個人データの提供を受ける際の確認義務、記録作成・保存義務を定めます。 | 受領側の個人情報取扱事業者 |
| 個人情報保護法31条 | 個人関連情報の第三者提供規制を定めます。提供先で個人データとして取得されることが想定される場合に、同意確認等が問題になります。 | 個人関連情報を提供する事業者、提供先事業者 |
| 個人情報保護法33条5項 | 第三者提供記録の開示請求に関する規律を定めます。 | 保有個人データを取り扱う事業者 |
第三者提供記録の検討で誤りやすいのは、本人同意を取得した時点で検討を止めてしまうことです。本人同意により第三者提供が可能になる場合でも、記録作成・保存義務が別に残ることがあります。
次の重要ポイントは、法務レビューで見落としやすい視点を強調しています。第三者提供の根拠と記録義務は別の問いであることを読み取り、契約や同意画面の確認だけで完結させないことが大切です。
本人同意は提供の根拠になり得ますが、第三者提供記録の作成義務と保存の要否を当然に消すものではありません。提供側と受領側の義務をそれぞれ検討します。
受領側の義務も独立しています。取引先が自社で記録していると説明しても、自社が第三者から個人データを受け取る側であれば、自社として確認・記録・保存できる体制が必要です。
提供する側は、誰に何をどの根拠で渡したかを説明できる状態にします。
提供側の検討は、個人データ該当性、第三者該当性、例外、提供根拠、記録事項、保存期間の順に進めます。次の判断の流れは提供前に確認する順番を示しており、後から記録を復元するのではなく、提供前に証跡を設計する重要性を読み取れます。
提供対象が検索可能なデータベース等を構成する情報かを確認します。
本人、同一事業者、委託先、共同利用先、別法人の第三者を区別します。
本人同意、オプトアウト、外国第三者提供同意、法令例外などを確認します。
提供年月日、提供先、本人識別事項、データ項目、同意証跡、起算日を残します。
次の表は、提供側で記録すべき典型項目と実務上の意味を整理しています。各項目は後日の追跡、本人問い合わせ、監査、保存期間管理に関係するため、どの証跡で確認できるかまで読み取ってください。
| 記録項目 | 実務上の意味 |
|---|---|
| 提供年月日 | いつ第三者提供が行われたかを示します。保存期間や追跡可能性の基礎になります。 |
| 提供先情報 | 第三者の氏名・名称、住所、代表者等を残し、誰に提供したかを特定します。 |
| 本人識別事項 | どの本人の個人データを提供したかを特定します。氏名、会員ID、顧客番号などが考えられます。 |
| 提供データ項目 | 氏名、住所、メールアドレス、購買履歴、申込情報、属性情報など、渡した項目を明らかにします。 |
| 本人同意の事実 | 本人同意に基づく提供では、同意を得ている旨と同意対象の範囲を残します。 |
| 同意取得の証跡 | 同意画面、申込書、契約書、チェックボックスログ、同意文言の版管理を保存します。 |
| 提供の根拠 | 本人同意、オプトアウト、法令例外、外国第三者提供同意などの区分を記録します。 |
オプトアウトによる第三者提供は、不正な名簿流通リスクが高くなりやすい類型です。次の表は、この類型で特に残すべき事項を示しています。年月日、相手方、本人、データ項目の4点を中心に、提供実態を後から説明できるかを読み取ります。
| 提供側記録事項 | 実務上の記載例 |
|---|---|
| 個人データを提供した年月日 | 2026年4月1日、2026年4月分一括送信などと記載します。 |
| 第三者の氏名・名称、住所、法人代表者名等 | 株式会社A、東京都内の所在地、代表取締役名などを記載します。 |
| 本人を識別できる事項 | 顧客ID、会員番号、氏名などを記載します。 |
| 提供した個人データの項目 | 氏名、住所、電話番号、メールアドレス、購買履歴などを記載します。 |
不特定多数に公開する態様など、提供先を個別に特定しにくい場合でも、記録の仕方を検討します。どの範囲の者が閲覧し得たか、どの情報を公開したか、公開期間はいつかを残す発想が重要です。
次の一覧は、本人同意に基づく提供で保存すべき証跡をまとめたものです。同意を得たという抽象的な説明では足りないため、どの本人が、どの文言に、いつ、どの提供先・提供項目について同意したかを読み取れる状態にします。
提供先、提供目的、提供項目の範囲が分かる文言を保存します。
同意画面の保存、プライバシーポリシーや利用規約の版を管理します。
同意取得日時、同意した本人のID、撤回の有無を紐づけます。
チェックボックス記録、申込書、契約書、同意ログを保存します。
外国にある第三者への提供では、国内の第三者提供記録に加えて、所在国、法制度、提供根拠、管理体制を確認します。次の表は、海外SaaS、海外グループ会社、海外CRMなどで見るべき項目を示しており、国内記録と外国移転管理台帳を接続する必要性を読み取れます。
| 確認事項 | 実務上のポイント |
|---|---|
| 提供先の所在国・地域 | 国名、地域、グループ会社所在地、クラウド利用地域などを確認します。 |
| 提供先の法制度 | 本人に提供すべき情報や同意取得文言への影響を確認します。 |
| 提供根拠 | 外国第三者提供同意、基準適合体制、法令例外などを整理します。 |
| 提供先の管理体制 | 契約、DPA、SCC相当条項、アクセス制御、再提供制限などを確認します。 |
| 記録との接続 | 国内第三者提供記録、外国移転管理台帳、委託先管理台帳を連携させます。 |
受け取る側は、取得経緯と提供根拠を確認し、自社の記録として残します。
受領側の義務は、確認義務と記録義務の二段構造です。受け取った事実だけでなく、そのデータが適法・適正に取得され、適法に提供されているかを確認する必要があります。
次の判断の流れは、第三者から個人データを受け取る前後に確認する順番を示しています。上から順に見ることで、提供元任せにせず、自社の確認結果をどの段階で記録すべきかを読み取れます。
受け取った情報が自社DBや営業管理表に組み込まれるかを見ます。
名称、住所、代表者、個人情報取扱事業者かどうかを確認します。
本人から直接取得したのか、別の第三者から取得したのか、同意やオプトアウトの根拠があるかを見ます。
受領年月日、提供元、本人識別事項、受領項目、確認方法、承認者を残します。
次の表は、受領側が確認すべき事項を整理しています。単に取引先名を確認するだけではなく、取得経緯や本人同意等の根拠まで見ることが、不適正なデータ流通を防ぐために重要です。
| 確認事項 | 内容 |
|---|---|
| 提供元の氏名・名称 | 個人であれば氏名、法人であれば名称を確認します。 |
| 提供元の住所 | 所在地、登記上本店、連絡先などを確認します。 |
| 法人代表者名 | 法人の場合は代表者氏名を確認します。 |
| 取得経緯 | 本人から直接取得したのか、別の第三者から取得したのか、同意を得ているのかを確認します。 |
| 本人同意等の根拠 | 本人同意、オプトアウト、その他の法的根拠を確認します。 |
| 本人を識別できる事項 | どの本人の個人データかを確認します。 |
| 提供を受けた個人データの項目 | 氏名、住所、連絡先、属性、履歴などを確認します。 |
次の表は、取得経緯を確認する方法を具体化したものです。確認方法の列を見ることで、契約書だけに依存せず、同意画面、届出状況、ヒアリング、サンプル監査を組み合わせる重要性を読み取れます。
| 確認方法 | 具体例 |
|---|---|
| 契約書・申込書の確認 | 提供元と本人との契約書、申込書、同意書、約款などを確認します。 |
| 提供元からの表明保証 | 本人から適法に取得し、第三者提供について必要な同意を得ている旨を契約書に定めます。 |
| 同意取得画面・同意文言の確認 | Web同意画面、プライバシーポリシー、利用規約、同意ログのサンプルを確認します。 |
| オプトアウト届出状況の確認 | オプトアウト提供の場合、個人情報保護委員会への届出・公表状況を確認します。 |
| 提供元の取得方法のヒアリング | 資料請求、展示会、アンケート、会員登録、キャンペーンなどの取得経路を確認します。 |
| データ項目との整合性確認 | 取得目的と提供データ項目が過大でないか、センシティブな項目が含まれていないかを確認します。 |
| サンプル監査 | 必要に応じ、同意取得証跡や取得元記録のサンプルを確認します。 |
次の表は、受領側で残すべき記録事項を示しています。確認しただけで終わらせず、担当者・承認者・確認方法まで残すことで、営業利用、広告配信、AI分析、採用、人事労務での後日説明に備えられます。
| 受領側記録事項 | 実務上の記載例 |
|---|---|
| 提供を受けた年月日 | 2026年4月1日、2026年4月分データ受領などと記載します。 |
| 提供元の氏名・名称、住所、代表者名等 | 株式会社B、所在地、代表者名などを記載します。 |
| 提供元による取得経緯 | 本人からキャンペーン申込時に取得、本人同意に基づく提供などを記載します。 |
| 本人同意を得ている旨 | 提供元が本人同意を取得しているとの確認結果を記載します。 |
| 本人を識別できる事項 | 顧客ID、氏名、メールアドレスなどを記載します。 |
| 受領した個人データの項目 | 氏名、連絡先、属性、申込履歴などを記載します。 |
| 確認方法 | 契約書、同意画面、表明保証、提供元回答書、オプトアウト届出確認などを記載します。 |
| 確認担当者・承認者 | 法務、個人情報保護担当、事業部責任者などを記載します。 |
提供元の説明が不自然な場合、本人同意の範囲が曖昧な場合、名簿の出所が多段階で不明な場合、価格が不自然に安い場合は、高リスク案件として扱います。受領停止、追加確認、利用範囲の限定、専門家への相談などを検討します。
記録義務がない可能性がある場面でも、判断根拠の社内記録は重要です。
例外・対象外類型で大切なのは、外部にデータが渡ったら常に法定記録が必要と決めつけないことと、契約関係があるから不要と安易に判断しないことです。次の表は本人同意なく第三者提供できる例外の代表例を示しており、法定記録とは別に判断根拠を残すべき理由を読み取れます。
| 類型 | 例 | 実務上の注意点 |
|---|---|---|
| 法令に基づく場合 | 税務署、裁判所、捜査機関、行政機関への法令に基づく提供 | 法令上の根拠、照会文書、提出範囲を保存します。 |
| 人の生命・身体・財産保護 | 急病人対応、事故対応、緊急連絡 | 緊急性と本人同意困難性を記録します。 |
| 公衆衛生・児童健全育成 | 感染症対応、児童虐待対応など | 必要性と同意取得困難性を慎重に判断します。 |
| 国・地方公共団体等への協力 | 統計調査、行政協力など | 任意協力か法令根拠かを区別します。 |
| 学術研究関連 | 学術研究目的の一定の提供 | 研究機関、目的、本人権利利益との関係を確認します。 |
次の比較表は、法律上第三者に該当しないものとして扱われ得る類型を示しています。グループ会社や委託先という名称だけで結論を出さず、利用目的、管理責任者、公表事項、契約とアクセス制御の整備状況を読み取ることが重要です。
| 類型 | 内容 | 典型例 | 注意点 |
|---|---|---|---|
| 委託 | 利用目的の達成に必要な範囲内で個人データの取扱いを委託する場合です。 | 発送代行、給与計算委託、クラウドCRM、コールセンター、システム保守 | 委託先監督、再委託管理、契約条項、アクセス制御が必要です。 |
| 事業承継 | 合併、会社分割、事業譲渡等に伴って個人データが提供される場合です。 | M&A、事業譲渡、会社分割 | 承継前利用目的の範囲、DD段階の開示との区別に注意します。 |
| 共同利用 | 共同利用者の範囲、利用目的、管理責任者等を本人が知り得る状態に置く場合です。 | グループ会社共同CRM、共同ポイントプログラム | 公表事項、管理責任者、利用範囲、グループ会社変更時の更新が重要です。 |
次の一覧は、例外判断で見落としやすい場面をまとめています。対象外に見える場面でも、本人の認識、裏側の共有先、受領後のデータベース化、誤送信データの利用有無を読み取る必要があります。
本人が申込フォームへ入力して送信する場面でも、裏側で広告事業者や提携先に共有される場合は慎重に検討します。
単発の名刺写しの受領に見えても、後にCRMへ登録される場合は事業プロセス全体で確認します。
公開情報を閲覧しただけの場合でも、保存・転記・社内共有の有無で別の問題が生じます。
一方的な誤送信で直ちに記録義務が生じない場合でも、削除、返却、社内共有禁止、事故対応を検討します。
法定の第三者提供記録が不要な場合でも、委託先管理台帳、共同利用管理台帳、データ移転台帳、契約書、DPA、アクセス権限台帳などの証跡管理が不要になるわけではありません。例外判断そのものを社内で説明できるように残すことが大切です。
専用台帳だけでなく、既存文書とシステム記録を組み合わせて設計します。
第三者提供記録は、必ず紙の専用台帳で作成するものではありません。次の表は、利用できる記録方法と注意点を比較したものです。どの媒体を使うかではなく、必要事項が保存期間中に検索・提示できるかを読み取ることが重要です。
| 記録方法 | 長所 | 注意点 |
|---|---|---|
| 専用の第三者提供記録台帳 | 法令事項を一覧化しやすく、監査しやすい方法です。 | 入力漏れ、現場負担、実態とのずれに注意します。 |
| 契約書・申込書・同意書 | 既存文書を活用でき、取引証跡と一体化しやすい方法です。 | 保存期間、検索性、記録事項の不足に注意します。 |
| システムログ | 日時、送信先、データ項目、担当者を自動記録できます。 | 改ざん防止、保存期間、個人別検索性が必要です。 |
| 送信メール・送信履歴 | 実際の提供日時や送信先を残しやすい方法です。 | 添付ファイルの中身、暗号化、アクセス制御に注意します。 |
| API連携ログ | データ連携の実態を把握しやすい方法です。 | 項目単位、本人単位、提供先単位の粒度を設計します。 |
| CRM・SFA・MAツールの履歴 | 営業・マーケティング実務と連動しやすい方法です。 | 外部ツールの保存期間とエクスポート可能性を確認します。 |
| 委託先・提供先管理システム | 契約、審査、提供記録を統合できます。 | 委託と第三者提供の区分を誤らない設計が必要です。 |
次の重要ポイントは、別途台帳が常に必要かという問いへの実務的な答えを示しています。既存文書があるかではなく、必要事項が含まれ、保存期間中に検索できるかを読み取ります。
契約書、申込書、同意書、送信記録に必要事項が含まれていれば記録として扱える場合があります。ただし、本人識別事項、提供データ項目、保存起算日を後から確認できない場合は不足します。
次の比較表は、一件ごとの記録、一括記録、契約書等による代替記録の考え方を並べたものです。提供頻度、対象範囲、保存起算日をどう管理するかを読み取ることで、運用に合った方式を選びやすくなります。
| 方式 | 向いている場面 | 設計上の注意点 |
|---|---|---|
| 一件ごとの記録 | 単発提供、個別性が高い受領、相手方や項目が案件ごとに違う場合です。 | 速やかに作成し、提供先・提供元、本人、項目、根拠を都度残します。 |
| 継続的・反復的な一括記録 | 毎月の会員データ提供、毎日のAPI連携、同一契約に基づく継続的授受に向いています。 | 対象範囲、本人範囲、項目、頻度、方法、最後の提供・受領日を管理します。 |
| 契約書等による代替記録 | 申込契約、同意書、利用規約、送信ログを組み合わせて必要事項を確認できる場合です。 | 契約書の保存期間、個人別検索性、同意文言の版管理、提供先変更時の更新が必要です。 |
次の表は、システムログを記録として活用する場合の設計項目を整理しています。API連携やSaaS連携では、実際に送受信された項目と保存期間を技術的に確認できることが重要です。
| 設計項目 | 内容 |
|---|---|
| タイムスタンプ | 提供・受領日時を正確に記録し、タイムゾーンも明確にします。 |
| 提供先・提供元ID | 法人名だけでなく、連携先ID、APIキー、テナントID等と紐づけます。 |
| 本人識別子 | 会員ID、顧客ID、社員番号等を記録し、必要に応じて氏名等と照合できるようにします。 |
| データ項目 | 送受信された項目を項目名、スキーマ、バージョンで管理します。 |
| 処理種別 | 新規提供、更新、削除、同期、再送、エラー再送などを区別します。 |
| 法的根拠 | 本人同意、委託、共同利用、オプトアウト、法令例外などを記録します。 |
| 同意版管理 | 同意文言、プライバシーポリシー、利用規約の版を紐づけます。 |
| 改ざん防止 | 編集権限制限、監査ログ、WORMストレージなどを検討します。 |
| 保存期間 | 法定保存期間を満たし、訴訟・監査・業法上の保存期間とも整合させます。 |
| 検索性 | 本人単位、提供先単位、期間単位、データ項目単位で検索できるようにします。 |
API連携では、提供したつもりがなくてもレスポンスに個人データが含まれる場合があります。法務・プライバシー担当だけでなく、エンジニア、プロダクト、セキュリティ担当がデータの流れとログ仕様を一緒に確認します。
保存期間は一律ではなく、記録方法と最後の提供・受領日で管理が変わります。
保存期間は、第三者提供記録の作成方法・類型によって異なります。次の表は保存期間の基本整理を示しており、通常の3年だけでなく、契約書等による代替記録と一括記録の起算点を読み取ることが重要です。
| 記録方法・類型 | 保存期間の考え方 |
|---|---|
| 契約書等による代替記録 | 最後に個人データの提供または受領を行った日から起算して1年を経過する日まで保存します。 |
| 継続的・反復的な提供・受領を一括して記録する場合 | 最後に個人データの提供または受領を行った日から起算して3年を経過する日まで保存します。 |
| 上記以外の通常の記録 | 記録を作成した日から3年間保存します。 |
次の時系列は、契約締結日と最後の提供日の関係を示しています。契約書を保存しているだけでは足りず、最終提供日・最終受領日を確認できるログや台帳が保存期間の起算に重要なことを読み取れます。
データ提供の契約を締結しても、この日だけで保存期間を決められない場合があります。
同一契約に基づき毎月データを提供する場合、提供実績を継続して把握します。
代替記録や一括記録では、この最後の提供・受領日が保存期間管理の基準になります。
訴訟、監査、当局対応、本人請求がある場合は、通常の削除スケジュールを一時停止するルールを設けます。
複数本人の記録を一つのExcelファイルやデータベースで管理する場合でも、本人ごと、提供先ごと、提供日ごとに保存期間を算定できる設計が必要です。ファイル全体を一括削除すると、まだ保存期間中の記録を誤削除するおそれがあります。一方で、満了後も不要に長く保存すると、記録自体が漏えいリスクになります。
次の一覧は、保存期間満了後も保存するかを判断する観点です。保存を続ける理由と、保存する項目の最小化を読み取ることで、過剰保存と早すぎる削除の双方を避けやすくなります。
訴訟、紛争、監査、当局対応、本人請求対応の必要性を確認します。
取引先との契約や業法上の保存義務が残るかを確認します。
保存する項目を減らせるか、匿名化・統計化できるかを確認します。
保存延長の根拠を文書化し、閲覧権限を限定します。
令和2年改正により、一定の第三者提供記録について本人が開示請求できる制度が設けられています。次の表は開示請求対応で問題となる事項を整理しています。記録を作る段階から本人単位で検索できる設計が重要なことを読み取れます。
| 論点 | 実務対応 |
|---|---|
| 対象となる記録の範囲 | 法定の第三者提供記録か、社内管理記録にすぎないかを区別します。 |
| 本人確認 | 請求者が本人または代理人であることを確認します。 |
| 開示対象外情報 | 他人の権利利益、業務適正、公益等との関係を確認します。 |
| 検索性 | 本人ID、氏名、メールアドレス等で記録を検索できるようにします。 |
| 提供先情報 | 第三者の名称等を開示する場合の契約・守秘義務との関係を確認します。 |
| 期限管理 | 法定期限、社内SLA、エスカレーションルートを整備します。 |
提供先単位の契約書だけで管理していると、特定の本人について過去にどの提供先へデータを提供したかを迅速に回答できない場合があります。記録作成時から本人単位の検索性を組み込むことが大切です。
規程、申請手順、契約、データマッピング、監査を一体化します。
第三者提供記録の作成義務と保存は、プライバシーポリシーを整えるだけでは足りません。次の表は社内の関係者ごとの役割を整理しています。誰が何を担うかを明確にすることで、営業、IT、人事、M&Aなどの現場で記録漏れを防ぎやすくなります。
| 関係者 | 主な役割 |
|---|---|
| 経営者・取締役 | 個人情報ガバナンス方針、リスク許容度、重要案件の意思決定を担います。 |
| ゼネラルカウンセル・企業内弁護士 | 法的解釈、重大案件判断、当局・外部専門家対応を担います。 |
| 法務担当 | 契約、同意文言、第三者提供該当性、記録義務の判断を担います。 |
| 個人情報保護・プライバシー担当 | データマッピング、PIA、本人対応、ガイドライン運用を担います。 |
| コンプライアンス担当 | 社内規程、研修、モニタリング、違反対応を担います。 |
| 内部監査担当 | 記録の整備状況、保存期間、承認手順、実態との整合性を監査します。 |
| 情報システム・セキュリティ担当 | ログ設計、アクセス制御、保存、削除、改ざん防止を担います。 |
| 事業部門 | データ提供・受領の申請、取引先確認、運用遵守を担います。 |
| 営業・マーケティング担当 | リード購入、共同キャンペーン、広告連携、MAツール利用時の確認を担います。 |
| M&A担当 | DD、事業承継、買収後統合時のデータ移転整理を担います。 |
| 外部専門家 | 複雑案件、海外移転、当局対応、不祥事・漏えい対応を支援します。 |
次の一覧は、社内規程に定めるべき事項をまとめています。定義、申請、審査、記録、保存、削除、本人請求、事故対応、監査まで含めることで、規程が現場の行動に接続しているかを読み取れます。
第三者提供・受領、個人データ、個人関連情報、匿名加工情報、仮名加工情報を区別します。
入口判断第三者提供・受領前の申請、法務・プライバシー担当の審査項目、事業部門責任者の承認権限を定めます。
承認記録事項、記録媒体、記録システム、保存期間、保存期間満了後の削除・延長ルールを定めます。
証跡本人開示請求時の検索・回答手順、事故・漏えい・誤提供時の報告ルートを定めます。
注意内部監査、定期点検、外国第三者提供時の追加確認、委託先・共同利用先・提供先の管理を定めます。
継続改善次の表は、第三者提供・受領の事前申請フォームで確認すべき項目例です。事業部門が独自に名簿購入、共同キャンペーン、SaaS導入、海外移転を進める前に、法務・プライバシー担当が何を見ればよいかを読み取れます。
| 項目 | 記載例 |
|---|---|
| 申請部門・担当者 | 営業企画部、マーケティング部、HR部など |
| 提供または受領の別 | 提供、受領、相互提供、共同利用、委託など |
| データ主体 | 顧客、会員、見込み客、従業員、応募者、取引先担当者など |
| 個人データ項目 | 氏名、住所、メールアドレス、購買履歴、属性など |
| 提供先・提供元 | 法人名、住所、代表者、担当部署、所在国など |
| 目的 | サービス提供、共同キャンペーン、広告配信、分析、契約履行など |
| 法的根拠 | 本人同意、委託、共同利用、事業承継、法令例外、オプトアウトなど |
| 同意取得方法 | 申込書、Webフォーム、チェックボックス、契約書、規約など |
| 取得経緯 | 本人から直接取得、取引先から受領、公開情報など |
| 提供・受領方法 | API、CSV、メール、SFTP、クラウド共有、紙媒体など |
| 頻度 | 単発、毎日、毎月、リアルタイム、随時など |
| 保存・削除 | 提供先での保存期間、削除方法、返却方法など |
| セキュリティ | 暗号化、アクセス制御、監査ログ、再提供制限など |
| 記録方法 | 台帳、契約書、システムログ、送信履歴など |
| 保存期間管理 | 起算日、満了日、延長事由など |
次の比較表は、契約条項に入れるべき事項を整理しています。表明保証だけで安心せず、証跡提出、監査権、削除・返却、漏えい等報告まで含めて、受領側と提供側の責任分担を読み取ることが重要です。
| 条項 | 内容 |
|---|---|
| 適法取得の表明保証 | 提供元が個人データを適法に取得したことを表明保証します。 |
| 第三者提供同意の表明保証 | 必要な本人同意を取得していることを表明保証します。 |
| 利用目的の限定 | 受領側が特定目的以外に利用しないことを定めます。 |
| 再提供制限 | 受領側による再提供を禁止または事前承諾制にします。 |
| 記録作成協力 | 法令上必要な記録作成・保存に協力する義務を定めます。 |
| 証跡提供 | 同意取得証跡、取得経緯、オプトアウト届出状況等の資料提出義務を定めます。 |
| 監査権 | 必要に応じて提供元・受領側の管理状況を確認できるようにします。 |
| 安全管理措置 | アクセス制御、暗号化、ログ、委託先管理、インシデント対応を定めます。 |
| 漏えい等報告 | 漏えい・目的外利用・誤提供時の通知義務を定めます。 |
| 削除・返却 | 契約終了時や利用目的達成時の削除・返却を定めます。 |
| 損害賠償・補償 | 違法取得、同意不備、記録不備による損害負担を定めます。 |
データマッピングでは、顧客データの外部提供、見込み客リストの購入、グループ会社間共有、共同キャンペーン、広告配信、EC・決済・配送、人事労務、M&A、AI学習、海外クラウド移転を重点的に棚卸しします。
名簿購入、共同キャンペーン、グループ共有、M&A、SaaS連携などを場面別に整理します。
第三者提供記録の作成義務と保存は、抽象論だけでは運用できません。次の比較表は、実務で頻出するケースごとに、主な論点と確認すべき点をまとめています。自社の業務に近い行を起点に、記録義務だけでなく契約、同意、ログ、例外判断まで読み取ってください。
| ケース | 主な論点 | 確認すべき点 |
|---|---|---|
| 営業リスト・名簿購入 | 受領側の確認義務が典型的に問題になります。 | 取得経緯、本人同意、オプトアウト届出、過去の苦情、削除依頼対応を確認します。 |
| 共同セミナー・共同キャンペーン | 共同取得、第三者提供、共同利用、委託、本人による提供の区別が問題になります。 | 申込フォームで取得会社、提供先、利用目的を明示し、該当する場合は提供側・受領側の記録を設計します。 |
| グループ会社間の顧客データ共有 | 別法人であれば原則として第三者に当たり得ます。 | 本人同意、共同利用、委託、事業承継のいずれで整理するかを明確にします。 |
| 外部委託との境界 | 委託先が自社目的で利用する場合、第三者提供や共同利用の問題が生じます。 | 利用規約、DPA、サブプロセッサ、データ所在地、再委託、アクセス権限を確認します。 |
| M&A・事業譲渡・DD | DD段階、統合準備、事業承継、PMIで個人データ移転の性質が変わります。 | 匿名化、マスキング、NDA、クリーンチーム、アクセスログ、本人同意・共同利用の要否を確認します。 |
| 人事・労務データの外部提供 | 労働法、労働安全衛生法、健康情報、守秘義務、社内規程が重なります。 | 給与計算、社労士手続、健康診断、ストレスチェック、研修、採用管理、人材データ共有を確認します。 |
| 専門家への提供 | 委託、法令に基づく提供、正当な業務遂行上の提供、本人同意など案件ごとの整理が必要です。 | 守秘義務、再委託、保存期間、返却・削除、アクセス制御、記録義務の有無を確認します。 |
| API連携・SaaS連携・広告配信 | 第三者提供、委託、共同利用、個人関連情報、Cookie・広告ID、外国第三者提供が重なります。 | データ項目、送信先ドメイン、API仕様、SDK仕様、ログ保存、国外移転、再提供、ベンダー規約を確認します。 |
次の比較表は、グループ会社間の顧客データ共有で採り得る構成を示しています。同じグループ内でも、構成によって公表事項、同意、記録義務、契約管理が変わるため、どの整理が実態に合うかを読み取ることが重要です。
| 構成 | 典型例 | 注意点 |
|---|---|---|
| 本人同意に基づく第三者提供 | 子会社顧客データを親会社のマーケティングに利用する場合です。 | 同意文言、提供先範囲、記録義務が必要です。 |
| 共同利用 | グループ共通会員基盤、共通ポイント、共通CRMです。 | 共同利用者範囲、利用目的、管理責任者等の公表が必要です。 |
| 委託 | 親会社が子会社の顧客管理業務を受託する場合などです。 | 利用目的達成に必要な範囲、委託先監督が必要です。 |
| 事業承継 | グループ再編、会社分割、事業譲渡です。 | 承継後の利用目的、DD段階との区別が必要です。 |
次の一覧は、高リスクになりやすいケースの注意点をまとめています。ケース名だけで結論を出さず、本人の期待、取得経緯、提供先の自社目的利用、国外移転、AI学習への利用有無を読み取ることが大切です。
取得元が曖昧、同意文言を提示できない、届出が確認できない、価格が不自然に安い場合は高リスクです。
参加者に、どの会社が取得し、どの会社へ提供され、何の目的で使われるかを明確に示します。
サービス改善、AI学習、広告、分析などの目的で事業者側が利用できる条項を確認します。
DD段階の開示が常に事業承継として扱われるとは限らないため、範囲最小化とアクセスログが重要です。
提供側・受領側・例外判断の管理項目を、監査チェックとつなげます。
管理テンプレートは、法定事項と実務上の証跡を同じ場所で追えるようにするために重要です。次の表は提供側記録の項目例であり、提供先、本人、データ項目、同意、契約、承認、保存期間満了日を一つの記録として読み取れる状態にします。
| 項目 | 記載内容 |
|---|---|
| 記録ID | TP-PROV-2026-0001 |
| 提供区分 | 本人同意、オプトアウト、外国第三者提供、その他 |
| 提供年月日・頻度 | 2026-04-01、単発、毎月、API常時連携など |
| 提供元部門 | マーケティング部など |
| 提供先情報 | 提供先名称、住所、代表者、所在国など |
| 本人とデータ項目 | 本人の範囲、本人識別事項、提供データ項目、提供目的など |
| 同意と証跡 | 本人同意の有無、同意取得方法、同意文言版、同意ログ保存場所など |
| 提供方法と契約 | SFTP、API、暗号化ZIP、契約書・DPAの保存場所など |
| 承認と保存 | 承認者、記録作成日、保存期間満了日、備考を記載します。 |
次の表は受領側記録の項目例です。提供元の適法取得や取得経緯を確認した結果を残すため、単なる受領日時やデータ項目だけでなく、確認方法、利用目的との整合性、承認者を読み取れるようにします。
| 項目 | 記載内容 |
|---|---|
| 記録ID | TP-REC-2026-0001 |
| 受領区分 | 本人同意、オプトアウト、第三者からの取得、その他 |
| 受領年月日・頻度 | 2026-04-01、単発、毎月、API常時連携など |
| 受領部門 | 営業企画部など |
| 提供元情報 | 提供元名称、住所、代表者、所在国、確認方法など |
| 取得経緯 | 本人がキャンペーンフォームで登録し、第三者提供同意を取得したことなどを記載します。 |
| 本人とデータ項目 | 本人の範囲、本人識別事項、受領データ項目を記載します。 |
| 自社利用目的 | セミナー後の営業連絡など、自社利用目的と同意文言との整合性を記載します。 |
| 契約・承認・保存 | 契約書・DPA、承認者、記録作成日、保存期間満了日、備考を記載します。 |
次の表は、法定の第三者提供記録義務が発生しないと判断する場合の例外判断記録です。不要という結論だけでなく、判断類型、根拠資料、代替管理、見直し時期を読み取れるようにすることで、監査時の説明力が上がります。
| 項目 | 記載内容 |
|---|---|
| 案件名 | 給与計算委託、共同利用、法令照会対応など |
| データ項目 | 対象となる個人データを記載します。 |
| 相手方 | 委託先、共同利用先、行政機関などを記載します。 |
| 判断類型 | 委託、共同利用、事業承継、法令に基づく提供などを記載します。 |
| 判断根拠 | 契約書、共同利用公表事項、法令照会文書などを記載します。 |
| 記録義務の結論 | 法定第三者提供記録義務なし、ただし社内記録保存などと記載します。 |
| 代替管理 | 委託先管理台帳、共同利用台帳、照会対応記録などを記載します。 |
| 承認者・見直し時期 | 法務、個人情報保護責任者、契約更新時、法改正時などを記載します。 |
次の一覧は、内部監査で確認すべき項目を3つの観点に分けたものです。全社棚卸し、記録内容、運用のどこに弱点があるかを読み取り、年1回以上は台帳と実際のデータ授受を照合します。
第三者提供・受領、委託、共同利用、グループ会社間共有、外国提供、SaaS・広告連携、名簿購入、人事労務、M&Aの有無を一覧化します。
提供・受領年月日、相手方、本人識別事項、データ項目、同意、取得経緯、保存期間満了日を確認できるかを見ます。
事前申請、契約レビュー、ログ保存、改ざん防止、本人単位検索、保存期間満了後の削除、例外判断記録を確認します。
監査では、台帳が存在するかだけでなく、実際のAPI、SaaS、メール、ファイル共有、契約、同意画面と一致しているかを確認します。部門独自運用がある場合は、教育と申請手順の再設計が必要です。
よくある誤解、是正措置、改正動向、高度論点、今すぐの対応をまとめます。
第三者提供記録の不備は、同意不備、目的外利用、漏えい、監査指摘、M&A時のリスクとして表面化しやすい領域です。次の一覧は、実務で起きやすい誤解をまとめています。どの思い込みが自社に残っているかを読み取り、教育やレビュー項目に反映します。
本人同意は提供の根拠になり得ますが、記録義務の検討は別に必要です。
委託先が自社目的で使う場合や範囲を超える場合、第三者提供等の問題が生じ得ます。
別法人であれば原則として第三者に当たり得ます。共同利用や委託の要件を確認します。
必要な記録事項が不足し、本人単位で検索できなければ不十分です。
代替記録や一括記録では、最後の提供・受領日が起算に関係します。
API、SaaS、SDK、広告タグは法務・プライバシー・セキュリティの共同領域です。
次の表は、不備が発覚した場合の是正措置を整理しています。どの不備にどの対応を当てるかを読み取り、既存資料からの復元、再発防止、システム改修、教育までつなげることが重要です。
| 不備 | 是正措置 |
|---|---|
| 記録未作成 | 既存資料から可能な範囲で記録を復元し、再発防止策を講じます。 |
| 記録事項不足 | 契約書、ログ、同意記録、提供元回答書を追加保存します。 |
| 保存期間管理不備 | 保存期間ルールを整備し、削除・延長管理を導入します。 |
| 同意証跡不足 | 同意取得手順を改修し、版管理・ログ保存を導入します。 |
| 取得経緯確認不足 | 提供元審査、契約表明保証、サンプル監査を追加します。 |
| 提供根拠不明 | 提供を停止し、法的根拠を再整理します。 |
| システムログ不足 | ログ項目、保存期間、検索性、改ざん防止を改修します。 |
| 部門独自運用 | 事前申請手順、教育、内部監査を導入します。 |
当局、本人、取引先へ説明が必要な場面では、データの流れの図、提供・受領一覧、記録台帳、契約書・DPA・NDA、同意文言・同意ログ、取得経緯確認資料、システムログ、アクセス権限記録、社内承認記録、是正措置計画、再発防止策を整理します。
次の一覧は、継続的に確認すべき改正動向と高度論点をまとめています。現在の台帳を作って終わりにせず、AI、広告、個人関連情報、越境移転、業法規制の変化に耐えられる構造かを読み取ることが大切です。
法改正、施行日、規則、ガイドライン、Q&A、パブリックコメント、業界ガイドライン、GDPR・CPRA・越境移転実務を継続確認します。
Cookie、広告ID、閲覧履歴、位置情報、スコアリング情報が提供先で個人データとして取得される場合を確認します。
対応表、提供先での識別可能性、容易照合性、加工基準、公表義務、第三者提供制限を確認します。
AIベンダーの位置づけ、自社目的利用、海外クラウド、学習データの削除・返却、ログや出力に含まれる個人データを確認します。
金融、医療、通信、教育、人材、保険、不動産、行政受託、研究開発では、業法や守秘義務が重なります。
次の時系列は、企業が優先して進める対応を5段階で示しています。順番は、現状把握から分類、記録整備、規程・契約・システム改修、教育・監査へ進む意味を持ちます。どの段階が未整備かを読み取ってください。
第三者提供・受領、グループ共有、委託先、共同利用先、営業リスト、共同キャンペーン、SaaS連携、保存期間管理を棚卸しします。
本人同意、オプトアウト、委託、共同利用、事業承継、法令例外、外国第三者提供、個人関連情報を分類します。
必要な記録事項を定義し、台帳、契約書、同意管理、ログ、保存期間満了日、本人単位検索を整えます。
社内規程、申請手順、契約雛形、同意画面、プライバシーポリシー、ログ保存、外部送信審査を改修します。
営業、マーケティング、人事、IT、M&A担当向け研修を行い、年次監査と法改正対応を続けます。
第三者提供記録は、企業が個人データをどのように扱っているかを示す証拠です。事故発生時、監査時、M&A時、本人対応時、当局対応時の説明力は、記録まで含めたデータガバナンスを整備しているかで大きく変わります。
個別判断ではなく、制度理解のための一般的な考え方として整理します。
一般的には、必ずしも専用台帳で作成する必要はないとされています。契約書、申込書、同意書、システムログ、送信記録等に必要事項が含まれ、保存期間中に確認できる状態であれば、記録として扱える場合があります。ただし、必要事項の不足や検索不能の有無で結論は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、本人同意を取得していても記録作成・保存義務が不要になるとは限らないとされています。同意は第三者提供の根拠になり得ますが、記録義務の要否は別に検討します。提供先、提供項目、本人識別事項、同意文言、同意ログの状況によって結論が変わる可能性があります。具体的な対応は、弁護士等の専門家へ相談する必要があります。
一般的には、委託が個人情報保護法上の要件を満たす場合、提供先は第三者に該当しないため、法定の第三者提供記録義務が発生しない場合があります。ただし、委託先監督、委託契約、再委託管理、安全管理措置、委託先台帳は別途重要です。委託先の利用目的や契約内容によって判断が変わる可能性があります。
一般的には、別法人であるグループ会社は第三者に当たり得るとされています。共同利用、委託、事業承継等に該当する場合は整理が変わりますが、グループ会社というだけで自由に共有できるわけではありません。利用目的、公表事項、管理責任者、アクセス権限、契約関係によって結論が変わる可能性があります。
一般的には、一律3年ではないとされています。通常の記録は作成日から3年間が基本ですが、契約書等による代替記録では最後の提供・受領から1年、継続的・反復的な一括記録では最後の提供・受領から3年など、記録方法により異なります。個別の保存設計は、契約、業法、訴訟対応、監査対応も含めて確認する必要があります。
一般的には、システムログに必要な記録事項が含まれ、保存期間中に検索・提示でき、改ざん防止やアクセス制御が整っていれば、記録の一部または全部として活用できる場合があります。ただし、提供先、本人識別事項、データ項目、同意根拠等が不足する場合は、契約書や台帳と組み合わせる必要があります。
一般的には、提供元の氏名・名称、住所、代表者等に加え、提供元が当該個人データをどのように取得したか、本人同意またはオプトアウト等の提供根拠があるかを確認するとされています。オプトアウト提供の場合は、届出・公表状況も確認します。取得経緯やデータ項目によってリスクが変わるため、具体的には専門家へ相談する必要があります。
一般的には、受領者が積極的に提供を受けたわけではない一方的な誤送信では、直ちに受領側の確認・記録義務が発生しない場合があるとされています。ただし、誤送信データを利用・保存・共有してよいわけではありません。送信元への連絡、削除・返却、社内共有の制限、事故対応などを検討する必要があります。
一般的には、共同利用の要件を満たす場合、共同利用者は第三者に該当しないため、法定の第三者提供記録義務が発生しない場合があります。ただし、共同利用者の範囲、利用目的、個人データの項目、管理責任者等を本人が知り得る状態に置く必要があります。共同利用管理台帳やアクセス制御も重要です。
一般的には、一定の第三者提供記録は本人による開示請求の対象となるとされています。もっとも、すべての社内管理記録が当然に開示対象となるわけではなく、法定の第三者提供記録に該当するか、開示除外事由があるかを確認する必要があります。具体的な対応は、対象記録と請求内容を整理したうえで専門家へ相談する必要があります。