2σ Guide

第三者提供・委託・共同利用の
書き分け

個人データを外部者へ渡す場面で、第三者提供、委託、共同利用のどれとして書くべきかを整理します。本人同意、契約条項、記録義務、外国移転、社内監査まで実務で確認できます。

3分類 第三者提供・委託・共同利用
4問 情報・主体・目的・予測可能性
10論点 FAQで確認する実務ポイント
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

第三者提供・委託・共同利用の 書き分け

個人データを外部者へ渡す場面で、第三者提供、委託、共同利用のどれとして書くべきかを整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
第三者提供・委託・共同利用の 書き分け
個人データを外部者へ渡す場面で、第三者提供、委託、共同利用のどれとして書くべきかを整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 第三者提供・委託・共同利用の 書き分け
  • 個人データを外部者へ渡す場面で、第三者提供、委託、共同利用のどれとして書くべきかを整理します。

POINT 1

  • 第三者提供・委託・共同利用の書き分けの要点
  • 第三者提供・委託・共同利用の書き分けの結論と読み方を整理します。
  • 第三者提供
  • 共同利用
  • 次の比較一覧は、第三者提供・委託・共同利用の最初の見分け方を整理したものです。

POINT 2

  • 第三者提供・委託・共同利用の書き分けが重要な理由
  • 第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 特に問題となるのは、次のような場面です。
  • これらは一見似ていますが、法的整理は異なります。
  • したがって、文書上の書き分けは次のように行う必要があります。

POINT 3

  • 第三者提供・委託・共同利用の前提概念
  • 第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 2.1 「個人情報」と「個人データ」は同じではない
  • 2.2 個人関連情報には、法27条5項型の例外が当然には用意されていない
  • 第三者提供・委託・共同利用の議論で中心となるのは、原則として 個人データです。

POINT 4

  • 第三者提供・委託・共同利用の基本構造
  • 第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 3.1 法27条1項 ― 第三者提供の原則
  • 3.2 法27条5項 ― 第三者に該当しない場合
  • 3.3 比較表 ― 第三者提供・委託・共同利用の中核差異

POINT 5

  • 第三者提供・委託・共同利用は名称ではなく実態で判断する
  • 1. 対象情報を確認:個人データ、個人関連情報、匿名加工情報、統計情報のどれかを確認します。
  • 2. 別主体が関与するか:親会社、子会社、代理店、共同研究先、クラウド事業者は別主体として検討します。
  • 3. 委託候補:契約、監督、再委託、目的外利用禁止を確認します。
  • 4. 第三者提供候補:本人同意、法定例外、記録義務を確認します。
  • 5. 共同利用と外国移転を確認:公表事項、共同利用契約、法28条、外的環境把握を確認します。

POINT 6

  • 第三者提供として書くべき場合
  • 第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 5.1 第三者提供の本質
  • 5.2 第三者提供のプライバシーポリシー記載例
  • 5.3 同意文の書き方

POINT 7

  • 委託として書くべき場合
  • 第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 6.1 委託の本質
  • 6.2 委託のプライバシーポリシー記載例
  • 6.3 委託契約に入れるべき事項

POINT 8

  • 共同利用として書くべき場合
  • 第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 7.1 共同利用の本質
  • 7.2 共同利用で公表・通知すべき事項
  • 7.3 共同利用のプライバシーポリシー記載例

まとめ

  • 第三者提供・委託・共同利用の 書き分け
  • 第三者提供・委託・共同利用の書き分けの要点:第三者提供・委託・共同利用の書き分けの結論と読み方を整理します。
  • 第三者提供・委託・共同利用の書き分けが重要な理由:第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 第三者提供・委託・共同利用の前提概念:第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

第三者提供・委託・共同利用の書き分けの要点

第三者提供・委託・共同利用の書き分けの結論と読み方を整理します。

次の比較一覧は、第三者提供・委託・共同利用の最初の見分け方を整理したものです。読者にとって重要なのは、外部者が誰の目的で使うかにより、本人同意、契約、記録、監督が変わる点です。三つの項目を横に見比べ、どの分類に近いかを読み取ってください。

Third Party

第三者提供

外部者が自己の目的・判断で個人データを利用する場面です。本人同意、例外、記録義務、外国移転を検討します。

Entrustment

委託

委託元の利用目的達成のため、外部者が委託された範囲でのみ処理する場面です。委託先監督と目的外利用禁止が中心です。

Joint Use

共同利用

複数事業者が、本人に示した目的・範囲・項目・責任者のもとで一体的に利用する場面です。

「第三者提供・委託・共同利用の書き分け」は、単なるプライバシーポリシーの表現問題ではありません。個人情報保護法上、本人同意の要否、通知・公表事項、委託先監督、共同利用に係る責任主体、第三者提供記録、外国移転規制、委託契約・共同利用契約・データ提供契約の設計が連鎖的に変わります。したがって、法務担当者、企業内弁護士、外部弁護士、個人情報保護・プライバシー担当、コンプライアンス担当、内部監査担当、IT・AI・データ法務担当、M&A・組織再編法務担当、情報セキュリティ担当は、用語の定義だけでなく、実態に即して「誰の目的で、誰の管理責任において、誰がどの範囲で個人データを取り扱うのか」を文書化しなければなりません。

このページの結論は明快です。外部者が自社の目的で個人データを利用するなら、原則として第三者提供です。外部者が委託元の利用目的達成のため、委託された範囲でのみ処理するなら委託です。複数の事業者が、あらかじめ本人に分かる形で、一定の目的・範囲・項目・責任者を示して一体的に利用するなら共同利用です。ただし、実務では、グループ会社、広告配信、CRM・CDP、クラウド、AI学習、データ分析、アンケート調査、業務提携、共同キャンペーン、フランチャイズ、M&Aデューデリジェンス、越境委託が混在するため、名称ではなく実態で分類する必要があります。

説明例このページは、弁護士、企業内弁護士、外部弁護士、個人情報保護担当、契約法務担当、コンプライアンス担当、内部監査担当、IT・AI・データ法務担当、M&A法務担当等の観点を統合した実務解説です。個別案件についての法的助言ではなく、実際の適用に当たっては最新の法令・ガイドライン・事業分野別規制・契約実態を確認する必要があります。
Section 01

第三者提供・委託・共同利用の書き分けが重要な理由

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

個人情報保護法の実務では、社外にデータを渡す場面を何でも「第三者提供」と呼ぶと過剰規制になり、逆に何でも「委託」と呼ぶと違法な本人同意回避になり得ます。共同利用も便利な制度ですが、共同利用者の範囲や利用目的を広げすぎると、本人から見て予測不能なデータ共有となり、制度趣旨を外れます。

特に問題となるのは、次のような場面です。

  1. グループ会社間で顧客データを共有します。
  2. 親会社が子会社の人事データを集約します。
  3. 外部ベンダーにダイレクトメール、コールセンター、決済、配送、クラウド運用、保守、AI分析を任せる。
  4. 広告プラットフォームにメールアドレス、Cookie ID、広告ID、購買履歴を渡す。
  5. 共同キャンペーン、共同研究、共同開発、共同販売を行います。
  6. フランチャイズ本部と加盟店で顧客情報を共有します。
  7. M&A、事業譲渡、会社分割、合併、PMIで顧客・従業員データを移転します。
  8. 海外SaaS、海外クラウド、海外BPO、海外親会社、海外子会社にデータを移転します。

これらは一見似ていますが、法的整理は異なります。たとえば、個人情報保護委員会の通則ガイドラインは、法27条5項に基づき、委託、事業承継、共同利用の一定の場合には提供先を「第三者に該当しない」と整理しています。他方、同ガイドラインは、委託先は委託された業務の範囲内でのみ取り扱うことができ、委託された業務以外に個人データを取り扱うことはできないとしています。

したがって、文書上の書き分けは次のように行う必要があります。

  • 第三者提供 ― 提供先が自己の判断・自己の目的で個人データを利用する外部提供として記載します。
  • 委託 ― 委託元の利用目的達成のための処理であり、委託先の独自利用を禁止する外部処理として記載します。
  • 共同利用 ― 複数の事業者が一定の共同利用目的・範囲・項目・責任者のもとで本人から見て一体的に利用する仕組みとして記載します。
Section 02

第三者提供・委託・共同利用の前提概念

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

2.1 「個人情報」と「個人データ」は同じではない

個人情報保護法は、「個人情報」「個人データ」「保有個人データ」「個人関連情報」「仮名加工情報」「匿名加工情報」などを使い分けています。第三者提供・委託・共同利用の議論で中心となるのは、原則として個人データです。通則ガイドラインも、法が複数の概念を使い分け、それぞれ義務が異なることに注意を要するとしています。

  • 個人情報 ― 生存する個人に関する情報で、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものをいいます。
  • 個人データ ― 個人情報データベース等を構成する個人情報をいいます。
  • 個人関連情報 ― 生存する個人に関する情報で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいいます。

実務上は、「社外に渡す情報が個人データなのか」「相手方で個人データとして取得されるのか」「個人関連情報として法31条の問題になるのか」を最初に判定します。ここを飛ばして第三者提供・委託・共同利用のラベルだけを貼ると、後続の義務が崩れます。

2.2 個人関連情報には、法27条5項型の例外が当然には用意されていない

個人関連情報については、個人データの第三者提供における委託、事業承継、共同利用に相当する例外規定はないとされています。個人情報保護委員会Q&Aは、個人関連情報の第三者提供について、法27条5項各号に相当する例外規定はなく、法31条1項の適用の有無は、提供先が個人関連情報を個人データとして取得することが想定されるかどうかで判断すると説明しています。

したがって、Cookie、広告ID、閲覧履歴、端末識別子、購買傾向、位置情報のような情報については、提供元では個人データでなくても、提供先で会員ID等と紐付いて個人データ化される可能性があります。これを「委託」や「共同利用」と安易に書くのではなく、個人関連情報の提供規制も含めて整理する必要があります。

Section 03

第三者提供・委託・共同利用の基本構造

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

3.1 法27条1項 ― 第三者提供の原則

個人情報取扱事業者は、法定例外を除き、あらかじめ本人の同意を得ないで個人データを第三者に提供してはいけません。通則ガイドラインは、第三者提供に当たり、本人の同意なく提供してはならず、同意取得時には本人が判断するために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならないと説明しています。

この原則から出発すると、社外に個人データを渡す場合は、まず「第三者提供ではない」といえる根拠があるかを確認します。根拠がなければ、第三者提供として、本人同意、法定例外、オプトアウト、外国移転、記録義務などを検討します。

3.2 法27条5項 ― 第三者に該当しない場合

法27条5項は、一定の委託、事業承継、共同利用について、提供を受ける者は第三者に該当しないと定めます。通則ガイドラインは、これらの場合、提供先は形式的には別主体であっても、本人との関係で提供主体と一体のものとして取り扱う合理性があるため、第三者に該当しないと説明しています。

この「第三者に該当しない」という表現は重要です。委託や共同利用は、第三者提供の一種ではありません。むしろ、一定要件を満たす限り、第三者提供規制の場面で第三者として扱わないという構造です。したがって、プライバシーポリシーや契約書で、委託先や共同利用者を漫然と「第三者提供先」と書くと、制度構造を誤って伝えるおそれがあります。

3.3 比較表 ― 第三者提供・委託・共同利用の中核差異

次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。

項目第三者提供委託共同利用
基本イメージ外部者に個人データを渡し、外部者が自己の目的・判断で利用する委託元の利用目的達成のため、外部者が処理する複数事業者が一定の範囲で一体的に利用する
法的根拠法27条1項、2項等法27条5項1号、法25条法27条5項3号、法27条6項
本人同意原則必要。例外あり法27条1項の本人同意は不要。ただし利用目的内であることが前提法27条1項の本人同意は不要。ただし法定事項の通知または容易に知り得る状態が必要
提供先の利用目的提供先自身の利用目的委託元の利用目的の達成に必要な範囲共同利用者の利用目的。本人が通常予期し得る範囲が重要
提供先の独自利用あり得る原則不可。委託業務外利用は不可共同利用目的内で可能
主な文書同意文、第三者提供条項、データ提供契約、記録委託条項、DPA、委託先管理台帳、再委託承認共同利用公表事項、共同利用契約、責任者設計
記録義務原則あり。例外あり法27条5項該当なら確認・記録義務は適用されない法27条5項該当なら確認・記録義務は適用されない
外国移転法28条を検討外国委託でも法28条を検討外国共同利用でも法28条を検討
典型例提携先への顧客紹介、広告会社への独自利用目的のデータ提供発送代行、コールセンター、データ入力、保守、給与計算グループ会社間の顧客管理、人事管理、共同サービス提供
Section 04

第三者提供・委託・共同利用は名称ではなく実態で判断する

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

次の判断の流れは、外部提供・利用形態を実態から分類する順番を示しています。読者にとって重要なのは、最初に対象情報を確認し、その後で別主体性、相手方の目的、共同利用の予測可能性、外国移転を順に見る点です。上から順に、どの確認で分類が分かれるかを読み取ってください。

外部提供・利用形態の判断の流れ

対象情報を確認

個人データ、個人関連情報、匿名加工情報、統計情報のどれかを確認します。

別主体が関与するか

親会社、子会社、代理店、共同研究先、クラウド事業者は別主体として検討します。

委託元の目的だけ
委託候補

契約、監督、再委託、目的外利用禁止を確認します。

相手方の目的あり
第三者提供候補

本人同意、法定例外、記録義務を確認します。

共同利用と外国移転を確認

公表事項、共同利用契約、法28条、外的環境把握を確認します。

4.1 第1問 ― 渡す情報は何か

まず、渡す情報が個人データか、個人関連情報か、匿名加工情報か、統計情報かを確認します。統計情報で、特定個人との対応関係が排斥されている限り、個人関連情報にも該当しないとされています。しかし、単に氏名を削除しただけのデータ、IDが残るデータ、提供先で容易に照合できるデータは、依然として個人データまたは個人関連情報として扱う必要があります。

4.2 第2問 ― 相手方は別法人・別主体か

会社内部の従業者へのアクセス付与は、通常、第三者提供ではありません。ただし、親会社、子会社、兄弟会社、フランチャイズ加盟店、代理店、共同研究先、業務提携先、広告プラットフォーム、クラウド事業者は、別法人・別主体です。グループ会社だから同一主体という扱いにはなりません。別主体に提供する以上、第三者提供、委託、共同利用、事業承継、外国移転、個人関連情報規制のいずれかを検討します。

4.3 第3問 ― 相手方は誰の目的で利用するか

最も重要なのは「誰の目的か」です。

  • 相手方が、委託元の業務処理のためだけに利用するなら、委託に近い整理になります。
  • 相手方が、自社営業、広告最適化、サービス改善、データベース構築、他社案件との混合分析、AIモデル学習など、自社目的で利用するなら、第三者提供または別個の本人同意取得が必要となりやすいです。
  • 複数事業者が、本人にあらかじめ示した共同利用目的の範囲で利用するなら、共同利用が候補となります。

個人情報保護委員会Q&Aは、委託先が委託元から提供された個人データを、委託内容と関係のない自社営業活動等のために利用する場合や、複数の委託元から提供された個人データを区別せず混ぜて取り扱う場合を、委託に該当しない例として示しています。

4.4 第4問 ― 本人から見て予測可能か

共同利用は、本人から見て、当初提供した事業者と一体のものとして取り扱われることに合理性がある場合に認められます。通則ガイドラインは、既に取得している個人データを他の事業者と共同利用する場合、共同利用者の範囲や利用目的等が、本人が通常予期し得ると客観的に認められる範囲内である必要があるとしています。

したがって、共同利用は「本人同意を取らずに広く共有できる便利な逃げ道」ではありません。共同利用者の範囲、利用目的、データ項目、責任者を明確化し、本人が容易に知り得る状態に置く必要があります。

Section 05

第三者提供として書くべき場合

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

5.1 第三者提供の本質

第三者提供は、提供先が提供元とは別の主体として、提供先自身の業務・目的・責任で個人データを利用する場面です。たとえば、A社がB社に見込み顧客リストを渡し、B社が自社サービスの営業に使う場合、B社は単なる処理代行者ではありません。B社自身の目的で利用するので、原則として第三者提供として整理します。

第三者提供として書くべき典型例は、次のとおりです。

  • 提携先に顧客を紹介し、提携先が自社商品を案内します。
  • 保険、ローン、引越し、電力、通信、教育、医療、美容等の比較サイトが、申込者情報を事業者に送る。
  • 広告配信事業者が、提供を受けた識別子や顧客データを自社広告ネットワークで突合・配信・効果測定に利用します。
  • グループ会社が、それぞれ自社商品・サービスの営業に利用するために顧客データを受け取る。
  • 共同キャンペーンの相手方が、応募者データを自社の会員獲得・販促に利用します。

5.2 第三者提供のプライバシーポリシー記載例

以下は一般的な例であり、実際には事業内容、データ項目、提供先、提供方法、本人同意の取得方法、外国移転の有無に応じて修正します。

記載例## 個人データの第三者提供

当社は、次に掲げる場合を除き、あらかじめ本人の同意を得ることなく、個人データを第三者に提供しません。

1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要があり、本人の同意を得ることが困難な場合
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要があり、本人の同意を得ることが困難な場合
4. 国の機関又は地方公共団体等が法令の定める事務を遂行することに協力する必要があり、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
5. その他個人情報保護法により認められる場合

当社が本人の同意に基づき個人データを第三者に提供する場合、提供先、提供される個人データの項目、提供目的、提供方法その他本人の判断に必要な事項を、同意取得時に明示します。

特定の提供が予定されている場合は、抽象的な「第三者に提供することがあります」だけでは足りません。本人が同意判断をできる程度に、提供先の属性、利用目的、項目、提供方法を具体化します。

5.3 同意文の書き方

第三者提供同意は、利用規約の奥に埋め込むだけでは不十分となるリスクがあります。本人が何に同意しているか判断できるよう、分離表示、チェックボックス、提供先一覧、リンク先の明確化、変更時の再同意要否を検討します。

記載例私は、株式会社Aが、以下の目的で、以下の個人データを株式会社Bに提供し、株式会社Bが同社のプライバシーポリシーに従って利用することに同意します。

- 提供先 ― 株式会社B
- 提供目的 ― 株式会社Bが提供する○○サービスの案内、申込受付、契約締結、本人確認、問い合わせ対応
- 提供する個人データの項目 ― 氏名、住所、電話番号、メールアドレス、申込内容、問い合わせ内容
- 提供方法 ― 暗号化された通信によるデータ連携

5.4 第三者提供契約に入れるべき事項

第三者提供契約では、委託契約とは異なり、提供先が独自に個人データを取り扱うことを前提にします。そのため、次の点を明確にします。

  1. 提供元・提供先の役割と責任。
  2. 提供根拠。本人同意、法定例外、オプトアウト、法28条同意等。
  3. 提供する個人データの項目、対象者、件数、提供方法、頻度。
  4. 提供先の利用目的と利用範囲。
  5. 提供先における安全管理措置。
  6. 再提供の可否と条件。
  7. 本人からの開示、訂正、利用停止、第三者提供停止、苦情への対応分担。
  8. 第三者提供記録・確認記録の作成・保存。
  9. 外国移転がある場合の情報提供、同意、相当措置、継続的確認。
  10. 漏えい等発生時の連絡、調査、本人通知、当局報告、費用負担。
  11. 監査・報告徴収・契約終了時の削除または返還。

5.5 第三者提供記録

第三者提供の場合、提供者・受領者には確認・記録義務が問題となります。確認・記録義務ガイドラインは、個人データが不正に流通した場合に流通経路を事後的に特定できるよう、第三者に個人データを提供する場合または第三者から提供を受ける場合には、第三者の氏名等の記録を作成・保存する必要があると説明しています。

ただし、法27条1項各号に該当する場合や、法27条5項各号に該当する委託・事業承継・共同利用については、確認・記録義務が適用されないとされています。第三者提供として書く場合は、記録義務の要否も同時に設計する必要があります。

Section 06

委託として書くべき場合

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

6.1 委託の本質

委託とは、個人情報取扱事業者が、利用目的の達成に必要な範囲内で、個人データの取扱いの全部または一部を外部者に行わせることです。通則ガイドラインは、委託に伴う提供の場合、提供先は第三者に該当せず、委託先は委託された業務の範囲内でのみ取り扱うことができ、委託業務以外に当該個人データを取り扱うことはできないと説明しています。

委託の典型例は、発送代行、データ入力、給与計算、コールセンター、システム保守、クラウド運用、決済処理、請求書発行、メール配信、キャンペーン事務局、アンケート集計、本人確認業務、カスタマーサポートです。

6.2 委託のプライバシーポリシー記載例

委託は、法27条5項1号に該当すれば第三者提供ではありません。そのため、第三者提供欄に「委託先に第三者提供します」と書くのは避ける。通常は、第三者提供とは別の見出しで記載します。

記載例## 個人データの取扱いの委託

当社は、利用目的の達成に必要な範囲内で、個人データの取扱いの全部又は一部を外部事業者に委託することがあります。この場合、当社は、委託先において個人データの安全管理が図られるよう、委託先の選定、委託契約の締結、委託先における取扱状況の確認その他必要かつ適切な監督を行います。

委託先名をすべて列挙する義務が常にあるわけではないが、透明性、消費者理解、委託先の重要性、データの性質、業界慣行、外国移転の有無に応じて、主要委託先または委託業務類型を公表することが望ましい場面があります。

6.3 委託契約に入れるべき事項

個人情報保護法25条は、個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を求める。通則ガイドラインは、委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握を挙げ、再委託についても事前報告・承認や監査等を通じて確認することが望ましいとしています。

委託契約には、少なくとも次の事項を入れる。

  1. 委託業務の内容。
  2. 取り扱う個人データの項目、対象者、件数、媒体、保管場所。
  3. 委託先の利用範囲は委託業務遂行に必要な範囲に限ること。
  4. 委託先による目的外利用、第三者提供、複製、持出し、本人ごとの突合、他データとの混合を禁止または制限すること。
  5. 再委託の可否、事前承認、再委託先管理、再々委託以降の管理。
  6. 安全管理措置。アクセス制御、ログ、暗号化、脆弱性管理、教育、秘密保持、端末管理、物理的管理。
  7. 委託元による監査、報告徴収、証跡提出、是正要求。
  8. 漏えい等発生時の即時通知、調査協力、本人通知・当局報告の分担。
  9. 契約終了時の返還、削除、消去証明、バックアップ削除。
  10. 外国で取り扱う場合の所在国、アクセス国、サーバ所在地、外的環境把握、法28条対応。
  11. 損害賠償、補償、責任制限の例外、情報セキュリティ保険。

6.4 委託先の自社利用はどこまで許されるか

委託先が提供を受けた個人データを自社のために利用する場合、委託の範囲を逸脱しやすいです。個人情報保護委員会Q&Aは、委託先が委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければならず、委託業務の範囲外で統計情報に加工して自社のために用いることはできないと説明しています。

また、広告配信の委託に伴って取得した本人の反応等の別の個人データについても、委託先が自社のために利用することはできないとされています。委託先が独自に取得した個人データまたは個人関連情報と、委託元から提供された個人データを本人ごとに突合することもできないとされています。

このため、次のような条項は、委託契約上、明確に規定すべきです。

記載例受託者は、委託業務の遂行に必要な範囲を超えて、委託者から提供を受けた個人データを利用してはいけません。受託者は、当該個人データを、受託者又は第三者の商品・サービスの広告、営業、マーケティング、プロファイリング、AIモデル又は分析技術の開発・改善、他のデータベースとの突合、複数委託元データの混合その他委託業務の範囲外の目的で利用してはいけません。ただし、委託者が書面により明示的に承認し、かつ個人情報保護法その他適用法令上必要な手続が履践された場合はこの限りではありません。

6.5 委託か第三者提供か迷う典型例

6.5.1 アンケート調査

外部事業者のみがアンケート調査に係る個人データを取り扱い、調査依頼者が一切個人データの取扱いに関与しない場合、通常は委託ではなく、外部事業者が自ら個人データを取り扱う主体と解されます。他方、依頼者がデータ内容を確認できる、契約上データ取扱権限がある、外部事業者の取扱いに制限が設けられる場合には、委託と解され得ます。

この違いは、プライバシーポリシーと契約書の書き分けに直結します。依頼者が個人データを受け取らない統計調査なら、依頼者側で「委託先に個人データを提供する」と書くのは誤りとなる場合があります。

6.5.2 配送・通信

個人情報データベース等に含まれる相手の氏名・住所等宛てに荷物等を送付する行為は一般に委託に該当するとされています。一方、配送事業者が配送を依頼された中身の詳細に関知しない通常の場合、中身の個人データについてまで取扱いの委託をしているものではないと解されます。

6.5.3 クラウド

クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合、第三者への「提供」には該当しませんが、利用者である個人情報取扱事業者は安全管理措置を講じる必要があります。外国クラウドの場合には、外国の制度等の把握や保有個人データの安全管理措置に関する本人の知り得る状態への対応が問題となります。

Section 07

共同利用として書くべき場合

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

7.1 共同利用の本質

共同利用は、特定の者との間で共同して利用される個人データを提供する場合で、法定事項をあらかじめ本人に通知し、または本人が容易に知り得る状態に置いているとき、提供先を第三者に該当しないものとする制度です。

通則ガイドラインは、共同利用について、本人から見て当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性がある場合に、第三者に該当しないと説明しています。

7.2 共同利用で公表・通知すべき事項

共同利用では、次の事項をあらかじめ本人に通知し、または本人が容易に知り得る状態に置く必要があります。

  1. 共同利用をする旨。
  2. 共同して利用される個人データの項目。
  3. 共同して利用する者の範囲。
  4. 利用する者の利用目的。
  5. 個人データの管理について責任を有する者の氏名または名称、住所、法人の場合は代表者氏名。

通則ガイドラインは、共同利用者の範囲について、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があるとしています。名称を全て列挙しなくてもよい場合はあるが、本人が利用者の範囲を判断できることが必要です。

7.3 共同利用のプライバシーポリシー記載例

記載例## 個人データの共同利用

当社は、以下のとおり個人データを共同利用します。

| 項目 | 内容 |
|---|---|
| 共同利用をする旨 | 当社は、下記の共同利用者との間で、下記の個人データを共同利用します。 |
| 共同して利用される個人データの項目 | 氏名、住所、電話番号、メールアドレス、会員ID、購入履歴、問い合わせ履歴、契約内容、サービス利用履歴 |
| 共同して利用する者の範囲 | 当社及び当社グループ会社(対象会社の一覧は別紙又は当社ウェブサイトに掲載します) |
| 利用する者の利用目的 | グループ全体での会員管理、商品・サービスの提供、問い合わせ対応、品質向上、商品・サービスの案内、不正利用防止、法令遵守対応 |
| 個人データの管理について責任を有する者 | 株式会社A、住所 ― 東京都○○区○○、代表者 ― 代表取締役 ○○○○ |

共同利用者の範囲を「当社の提携先」や「当社が必要と認める者」とだけ書くのは危険です。本人がどの範囲の事業者に利用されるのか判断できないためです。

7.4 共同利用契約に入れるべき事項

通則ガイドラインは、共同利用者間で取り決めておくことが望ましい事項として、共同利用者の要件、各共同利用者の個人情報取扱責任者・問合せ担当者・連絡先、漏えい等防止、目的外利用・加工・複写・複製の禁止、共同利用終了後の返還・消去・廃棄、取決め違反時の措置、事件・事故発生時の報告・連絡、共同利用終了手続などを示しています。

共同利用契約では、次の事項を明確にします。

  1. 共同利用の目的、制度趣旨、本人向け公表事項。
  2. 共同利用者の範囲と追加・除外手続。
  3. 共同利用するデータ項目、対象者、保存期間。
  4. 管理責任者の役割。本人対応、開示等、苦情、漏えい等対応、当局対応。
  5. 各共同利用者の利用範囲、目的外利用禁止、再提供禁止。
  6. アクセス権限、ログ、データ分離、削除、返還、バックアップ管理。
  7. 共同利用者間の監査、報告、是正、違反時措置。
  8. 共同利用終了、会社分割・譲渡・グループ離脱時の処理。
  9. 外国共同利用者が含まれる場合の法28条対応。
  10. 本人向け表示変更時の責任者、期限、承認手順。

7.5 共同利用事項の変更

共同利用では、項目や共同利用者の範囲を後から自由に広げられるわけではありません。通則ガイドラインは、利用目的や責任者の変更について通知・容易に知り得る状態への措置を定める一方、共同利用される個人データの項目および共同利用者の範囲の変更は原則として認められないとしています。ただし、本人同意を得た場合、名称変更、事業承継等の場合は引き続き共同利用できる例が示されています。

したがって、共同利用を始める時点で、将来の事業再編、グループ会社増減、サービス統合、共同キャンペーンの追加を見据えて、過不足なく範囲を設計する必要があります。ただし、将来何でも含められるように過度に抽象化すると、本人が判断できない記載となります。

Section 08

第三者提供・委託・共同利用の境界線

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

8.1 グループ会社間共有

グループ会社間の共有は、自動的に共同利用になるわけではありません。

  • 子会社が親会社に給与計算・人事システム運用を委託するなら、委託の可能性があります。
  • 親会社と子会社がグループ人事、コンプライアンス、内部通報、グループ会員管理のために一定範囲で一体的に利用するなら、共同利用の可能性があります。
  • 子会社顧客に親会社が自社サービスを営業するためにデータを受け取るなら、第三者提供の可能性が高いです。

グループ内であっても、本人から見れば別法人です。共同利用にするなら、共同利用者の範囲、目的、項目、責任者を明確にします。第三者提供にするなら、同意や記録を整備します。委託にするなら、親会社・子会社のどちらが委託元で、どの業務を処理しているのかを契約で定めます。

8.2 広告配信・マーケティング

広告配信では、「委託」と「第三者提供」の境界が特に問題となります。

委託といえるのは、広告配信事業者が委託元の指示に従い、委託元の広告配信業務の範囲内でのみ個人データを取り扱う場合です。これに対し、広告配信事業者が自社データベースと突合し、自社ネットワークで独自にターゲティング、プロファイリング、広告効果測定、モデル改善、他広告主向け最適化を行う場合、委託と整理するのは困難になり得ます。

個人情報保護委員会Q&Aは、委託先が委託元から提供された個人データを独自取得データまたは個人関連情報と本人ごとに突合することはできないとし、SNS運営事業者やポイントサービス運営事業者との突合事例を示しています。

8.3 AI学習・分析技術改善

委託先が、委託業務の処理の一環として分析技術を改善する場合について、Q&Aは個別判断としつつ、委託元の利用目的達成に必要な範囲内である限り、自社の分析技術の改善のために利用できる場合があると説明しています。しかし、これは無限定なAI学習許諾ではありません。

実務上は、次の点を明確にします。

  1. 改善対象が委託業務の品質向上に限られるか。
  2. 委託元データが他社データと混合されるか。
  3. 個人データがモデルに残存・抽出されるリスクがあるか。
  4. 委託終了後も成果物やモデルを委託先が利用するか。
  5. 本人ごとの突合・プロファイリングが行われるか。
  6. 外国で学習・保守・アクセスされるか。

委託先が自社サービス全般のモデル改善に利用する場合は、委託の範囲を超えるおそれが高いです。第三者提供、共同利用、本人同意、匿名加工情報、統計情報、秘密計算、合成データなどの別整理を検討します。

8.4 共同キャンペーン

共同キャンペーンでは、応募フォームをどちらが運営し、どちらが個人データを取得し、どちらが何に使うかで結論が変わります。

  • A社が事務局をB社に委託し、B社は抽選・発送だけを行う ― 委託。
  • A社とB社が共同主催し、応募者情報を両社がキャンペーン運営に使う ― 共同利用または共同取得の設計。
  • B社が応募者に自社商品の案内を行う ― 第三者提供またはB社による直接取得・同意取得。

応募画面では、「主催者」「個人データの取得主体」「共同利用の有無」「第三者提供の有無」「委託先の有無」を一体として表示します。

8.5 フランチャイズ・代理店・販売店

フランチャイズ本部と加盟店、メーカーと販売店、保険会社と代理店、旅行業者と手配先、学校と提携事業者なども、ラベルだけでは決まりません。

  • 代理店が本人から直接取得し、自社の顧客管理も行うなら、代理店自身が個人情報取扱事業者となります。
  • 本部が加盟店にシステム処理を委託するなら委託。
  • 本部・加盟店が統一会員制度として顧客情報を共同利用するなら共同利用。
  • 本部が加盟店から顧客リストを受け取り、自社商品の営業に使うなら第三者提供。

8.6 M&A・事業承継

合併、分社化、事業譲渡等に伴い事業が承継される場合、法27条5項2号により第三者に該当しない場合があります。通則ガイドラインは、事業承継後も、提供前の利用目的の範囲内で利用しなければなりませんとし、交渉段階の提供についても、利用目的、取扱方法、漏えい時措置、交渉不調時の措置等、安全管理措置を遵守させる契約を締結する必要があると説明しています。

M&A実務では、デューデリジェンス資料室に顧客・従業員データを置く場合、匿名化、マスキング、閲覧制限、NDA、利用目的制限、アクセスログ、交渉不成立時の削除を設計します。

8.7 外国にある委託先・共同利用者・第三者提供先

国内法上は委託や共同利用で第三者に該当しない場合でも、外国にある第三者に個人データを提供する場合は法28条が別途問題となります。個人情報保護委員会FAQは、外国にある第三者に個人データの取扱いを委託する場合も、一定の場合を除き、法28条1項に基づき、あらかじめ外国にある第三者への提供を認める旨の本人同意を得る必要がありますと説明しています。

外国委託や外国クラウドでは、次の論点を確認します。

  1. 提供先・委託先・再委託先はどの国に所在するか。
  2. サーバ所在地、アクセス国、サポート担当者所在地はどこか。
  3. 当該国が同等水準国に該当するか。
  4. 相当措置を継続的に講ずる体制が整備されているか。
  5. 法28条同意を取得する場合、本人への情報提供は十分か。
  6. 外的環境の把握と安全管理措置の公表は行っているか。
  7. 再移転・再委託の制限は契約に入っているか。
Section 09

第三者提供・委託・共同利用を文書別に書き分ける

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

9.1 プライバシーポリシーでの書き分け

プライバシーポリシーでは、次の順序で書くと誤解が少ありません。

  1. 取得する情報。
  2. 利用目的。
  3. 安全管理措置。
  4. 委託。
  5. 第三者提供。
  6. 共同利用。
  7. 外国にある第三者への提供。
  8. 個人関連情報の提供。
  9. 開示等の請求手続。
  10. 問い合わせ窓口。

委託、第三者提供、共同利用を一つの見出しにまとめると、本人にとって違いが分かりにくい。特に共同利用は法定事項の表示が必要であり、委託は委託先監督の説明が中心であり、第三者提供は本人同意・例外・記録が中心であるため、見出しを分ける。

9.2 契約書での書き分け

契約書では、表題ではなく条項の中身で書き分ける。

次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。

契約類型主な条項書いてはいけない曖昧表現
委託契約・DPA委託業務、目的外利用禁止、再委託、監査、安全管理、返還削除「受託者は必要に応じて自由に利用できる」
第三者提供契約提供根拠、同意取得、提供先目的、再提供、記録、本人対応「提供先は委託先としても自己利用できる」
共同利用契約共同利用目的、共同利用者範囲、責任者、本人対応、終了時処理「関係会社その他必要な者が利用する」
業務提携契約取得主体、共同利用か第三者提供か、同意画面、委託先管理「両社で適切に共有する」
クラウド契約取扱有無、アクセス権限、保管国、再委託、ログ、削除「当社はデータを利用しません」だけで詳細なし

9.3 データマッピング台帳での書き分け

社内台帳では、次の列を設ける。

次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。

記載例
処理名会員向けメール配信
データ主体会員
データ項目氏名、メールアドレス、購買履歴
提供・移転先メール配信ベンダーX社
相手方の所在国日本、サポートアクセス ― 米国
分類委託
分類理由当社の利用目的達成のため、X社は配信処理のみ実施し、独自利用不可
根拠法27条5項1号、法25条
本人向け表示プライバシーポリシー「委託」欄
契約DPA締結済、再委託承認制
記録義務法27条5項該当のため第三者提供記録対象外
外国移転外国アクセスあり。外的環境把握、法28条確認
管理責任者マーケティング部、法務部、情報セキュリティ部
見直し日2026-06-23

この台帳は、プライバシーポリシー、契約、システム設計、監査、漏えい対応をつなぐ基礎資料となります。

9.4 社内稟議・法務レビューでの書き分け

社内稟議では、次のような判断メモを添付します。

記載例## 個人データ外部提供・利用形態判断メモ

1. 案件名 ―
2. 事業目的 ―
3. 取り扱う情報 ―
4. 個人データ該当性 ―
5. 個人関連情報該当性 ―
6. 提供先・委託先・共同利用者 ―
7. 相手方の利用目的 ―
8. 当社の利用目的との関係 ―
9. 分類 ― 第三者提供/委託/共同利用/事業承継/その他
10. 分類理由 ―
11. 本人同意の要否 ―
12. 本人向け表示・公表事項 ―
13. 契約条項 ―
14. 第三者提供記録・確認記録の要否 ―
15. 外国移転・外的環境把握 ―
16. セキュリティ審査結果 ―
17. 残リスクと承認条件 ―
Section 10

第三者提供・委託・共同利用の実務判断の流れ

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

以下の順で判断します。

記載例Step 1 対象情報は個人データか?
├─ No → 個人関連情報、匿名加工情報、統計情報、営業秘密等の別規制を確認
└─ Yes

Step 2 別主体に渡す、または別主体がアクセスするか?
├─ No → 社内利用。利用目的、安全管理、従業者監督を確認
└─ Yes

Step 3 相手方は委託元の利用目的達成のためだけに処理するか?
├─ Yes → 委託候補。委託契約、監督、再委託、目的外利用禁止を確認
└─ No

Step 4 複数事業者が、本人にあらかじめ示した範囲・目的・項目・責任者のもとで一体利用するか?
├─ Yes → 共同利用候補。法定公表事項、共同利用契約、変更制限を確認
└─ No

Step 5 事業承継に伴う移転か?
├─ Yes → 事業承継。利用目的承継、DD段階の契約、安全管理を確認
└─ No

Step 6 第三者提供として、本人同意、法定例外、オプトアウト、記録義務を確認

Step 7 外国にある者が関与するか?
├─ Yes → 法28条、外的環境把握、相当措置、情報提供を確認
└─ No → 国内規律で運用
Section 11

第三者提供・委託・共同利用のケーススタディ

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

ケース1 ― 発送代行会社に顧客リストを渡す

分類は原則として委託です。発送代行会社は、委託元のキャンペーン案内発送という利用目的の達成に必要な範囲で、氏名・住所等を処理するだけです。プライバシーポリシーでは「委託」欄に記載し、第三者提供欄には含めません。契約では、目的外利用禁止、再委託制限、発送後の削除、誤発送時の報告を定めます。

ケース2 ― 提携先に見込み顧客を紹介する

提携先が自社商品を案内するために利用するなら、第三者提供です。本人同意を取得し、提供先、提供目的、データ項目、提供方法を明示します。提供者・受領者の記録義務も検討します。

ケース3 ― グループ共通IDを導入する

グループ各社が会員管理、ログイン、購入履歴連携、問い合わせ対応を一体として行うなら、共同利用が候補となります。ただし、各社が独自営業に自由利用する場合は、共同利用目的に含めることの予測可能性、第三者提供同意の要否を検討します。共同利用者の範囲は、会社一覧または明確な範囲で示します。

ケース4 ― 広告プラットフォームにメールアドレスを渡して類似配信を行う

広告プラットフォームが自社ユーザーデータと突合し、自社広告ネットワークで配信・最適化する場合、単純な委託とは整理しにくいです。第三者提供、個人関連情報提供、本人同意、広告ID規制、プラットフォーム規約、外国移転を総合検討します。委託と書く場合は、本人ごとの突合や自社利用が禁止されることを契約・技術で担保する必要があります。

ケース5 ― 海外BPOにデータ入力を委託する

国内法上は委託であっても、外国にある第三者への提供規制が問題となります。法28条上の同意、同等水準国、相当措置体制、本人への情報提供、外的環境把握、委託先監督、再委託管理を確認します。プライバシーポリシーでは、委託欄だけでなく、外国移転・安全管理措置の記載も整備します。

ケース6 ― 共同研究先に患者・利用者データを渡す

学術研究例外、共同利用、第三者提供同意、倫理審査、医療・研究分野のガイドライン、要配慮個人情報、匿名加工・仮名加工、契約上の再提供禁止を総合検討します。共同研究という名称だけで共同利用になるわけではありません。

ケース7 ― 委託先が受領データをAIモデル改善に使いたい

委託元の利用目的達成に必要な範囲内か、委託業務の品質改善に限られるか、他社データと混合されるか、委託終了後もモデルを利用するかで判断します。自社横断的なモデル改善に使うなら、委託の範囲外となるリスクがあります。第三者提供同意、匿名加工情報、統計情報、別契約を検討します。

Section 12

第三者提供・委託・共同利用のチェックリスト

実務で確認すべき項目を段階別に整理します。

12.1 第三者提供チェックリスト

  • 提供先は別主体か。
  • 提供先の利用目的は提供先自身の目的か。
  • 本人同意が必要か。法定例外に該当するか。
  • 同意文は、提供先、目的、項目、方法を本人が判断できる程度に明確か。
  • 要配慮個人情報が含まれるか。
  • オプトアウトを使う場合、届出・公表・対象外データの確認をしたか。
  • 第三者提供記録・受領時確認記録が必要か。
  • 外国にある第三者か。法28条対応は必要か。
  • 再提供を認めるか。認める場合の条件はあるか。
  • 本人からの利用停止・第三者提供停止請求への対応分担はあるか。

12.2 委託チェックリスト

  • 委託元の利用目的達成に必要な範囲か。
  • 委託先の独自利用が禁止されているか。
  • 委託業務の内容、データ項目、処理範囲が契約で特定されているか。
  • 委託先選定時に安全管理措置を確認したか。
  • 委託契約に安全管理、目的外利用禁止、再委託、監査、削除、漏えい報告があるか。
  • 再委託・再々委託の承認と監督があるか。
  • 委託先が他社データと混ぜない設計か。
  • AI学習、分析技術改善、広告最適化、本人ごとの突合を許すか。許す場合の法的根拠は何か。
  • 外国委託・外国アクセス・外国サーバがあるか。
  • 委託先管理台帳と定期監査があるか。

12.3 共同利用チェックリスト

  • 本人から見て一体利用として合理性があるか。
  • 共同利用をする旨を表示しているか。
  • 共同利用される個人データの項目を具体的に記載しているか。
  • 共同利用者の範囲を本人が判断できる程度に明確化しているか。
  • 共同利用者の利用目的を全て表示しているか。
  • 管理責任者の名称、住所、代表者氏名を表示しているか。
  • 共同利用契約を締結しているか。
  • 目的外利用、再提供、漏えい対応、本人対応、終了時処理を決めているか。
  • 項目や共同利用者範囲の変更が必要になった場合、本人同意等の手続を検討しているか。
  • 外国共同利用者がいる場合、法28条を検討したか。
Section 13

第三者提供・委託・共同利用でよくある誤記と修正例

個別案件への断定ではなく、一般的な制度説明として確認します。

誤記1 ― 「業務委託先に第三者提供します」

問題 ― 委託が法27条5項1号に該当するなら、提供先は第三者に該当しません。第三者提供欄に委託先を含めると、本人に誤解を与える。

修正

記載例当社は、利用目的の達成に必要な範囲内で、個人データの取扱いを外部事業者に委託することがあります。この場合、当社は委託先に対して必要かつ適切な監督を行います。

誤記2 ― 「当社グループおよび提携先と共同利用します」

問題 ― 共同利用者の範囲が不明確で、本人がどの事業者まで利用されるか判断できません。

修正

記載例共同利用者の範囲 ― 当社、当社子会社です株式会社Bおよび株式会社C、ならびに当社ウェブサイトに掲載するグループ会社一覧に記載された会社。

ただし、一覧の更新管理、変更時の本人対応、範囲拡大の可否を別途検討します。

誤記3 ― 「委託先はサービス改善のため自由にデータを利用できます」

問題 ― 委託先の自社目的利用を認めると、委託の範囲を超える可能性があります。

修正

記載例受託者は、委託業務の遂行および委託業務の品質維持・改善に必要な範囲でのみ個人データを取り扱うものとし、受託者または第三者の営業、広告、マーケティング、プロファイリング、AIモデル開発、他データとの突合その他委託業務の範囲外の目的で利用してはいけません。

誤記4 ― 「外国の委託先なので第三者提供ではありません」

問題 ― 国内の第三者提供規制上は委託でも、外国にある第三者への提供規制は別途問題となります。

修正

記載例当社は、外国に所在する委託先に個人データの取扱いを委託する場合、個人情報保護法に基づき、必要な情報提供、本人同意、相当措置の確認、外的環境の把握その他必要な措置を講じます。
Section 14

第三者提供・委託・共同利用を組織で再現するガバナンス設計

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

第三者提供・委託・共同利用の書き分けは、法務部だけで完結しません。営業、マーケティング、プロダクト、情報システム、セキュリティ、経理、人事、内部監査、経営企画、M&A担当、海外拠点が同じ基準で判断できる仕組みが必要です。

14.1 社内ルール

社内規程には、次を定めます。

  1. 個人データ外部提供の事前承認制。
  2. 第三者提供・委託・共同利用・事業承継・個人関連情報提供の定義。
  3. 法務・プライバシー・セキュリティ審査の要否。
  4. 標準契約書、DPA、共同利用契約、第三者提供契約の使い分け。
  5. 外国移転審査。
  6. ベンダー審査、再委託審査。
  7. 記録義務・台帳管理。
  8. 変更時レビュー。
  9. 漏えい等発生時の報告ルート。

14.2 RACI

次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。

役割主な責任
事業部利用目的、データ項目、提供先、業務実態の説明
法務法的分類、契約、同意、共同利用公表事項、記録義務の判断
個人情報保護担当プライバシーポリシー、本人対応、台帳、教育
情報セキュリティ安全管理措置、クラウド審査、アクセス制御、ログ
調達委託先審査、契約締結、再委託管理
内部監査運用状況、台帳、契約、記録、証跡の監査
経営高リスク案件の承認、方針決定

14.3 監査項目

内部監査では、次を確認します。

  • プライバシーポリシーの記載と実態が一致しているか。
  • 委託先が委託業務外利用をしていないか。
  • 共同利用者の範囲が公表内容を超えていないか。
  • 第三者提供記録が保存されているか。
  • 外国委託・外国クラウドの外的環境把握が更新されているか。
  • 再委託先が台帳に登録されているか。
  • 契約終了後の削除証跡があるか。
  • 新規サービス開始時に法務レビューが行われているか。
Section 15

第三者提供・委託・共同利用でよくある質問

個別案件への断定ではなく、一般的な制度説明として確認します。

Q1. 委託先をプライバシーポリシーに列挙する必要はありますか。

常に列挙が必要とは限りません。ただし、委託先の重要性、データの機微性、本人の予測可能性、外国移転、消費者向け透明性を考慮し、主要委託先や委託業務類型を記載することは実務上有用です。

Q2. 共同利用なら本人同意は不要ですか。

法27条1項の第三者提供同意は不要となります。ただし、共同利用をする旨、共同利用データ項目、共同利用者の範囲、利用目的、管理責任者情報を、あらかじめ本人に通知し、または本人が容易に知り得る状態に置く必要があります。

Q3. グループ会社なら共同利用と書けばよいですか。

よくありません。グループ会社間でも、各社が何の目的で利用するかにより、第三者提供、委託、共同利用、事業承継のいずれかが変わります。共同利用にするなら法定事項を明確に表示します。

Q4. 委託先が統計化すれば自社利用できますか。

委託業務の範囲内で統計情報に加工することはあり得ますが、委託業務の範囲外で委託先が自社のために統計情報を作成・利用することはできないとされています。契約で明確に制限する必要があります。

Q5. 第三者提供と共同利用の最大の違いは何ですか。

第三者提供は、提供先が別主体として自己の目的で利用することを前提に、本人同意等を求める制度です。共同利用は、本人から見て提供元と共同利用者を一体として取り扱う合理性がある場合に、法定事項をあらかじめ示すことで第三者に該当しないと扱う制度です。

Q6. 委託と共同利用の最大の違いは何ですか。

委託では、委託先は委託元の利用目的達成のために、委託された範囲でのみ処理します。共同利用では、共同利用者が公表された共同利用目的の範囲内で自ら利用します。委託先が共同利用者の範囲に含まれていても、委託先との関係が当然に共同利用になるわけではなく、委託元の監督義務が消えるわけでもありません。

Q7. 外国委託は第三者提供ではないから法28条は不要ですか。

不要とはいえません。外国にある第三者に個人データの取扱いを委託する場合も、一定の場合を除き、法28条1項に基づく外国第三者提供同意等が必要となると説明されています。

Q8. 個人データを渡さず、クラウドに保存するだけなら提供ではありませんか。

クラウド事業者が個人データを取り扱わないこととなっている場合、第三者への提供には該当しないとされています。ただし、安全管理措置、外国の制度把握、サーバ所在地・事業者所在地に関する本人の知り得る状態への対応が問題となる場合があります。

Q9. 共同利用者の範囲を後で追加できますか。

共同利用者の範囲の変更は原則として認められないとされています。本人同意を得る、名称変更にとどまる、事業承継など、限定的な場合を除き、最初の設計と表示が重要です。

Q10. 契約書のタイトルが「業務委託契約」なら委託ですか。

タイトルでは決まりません。相手方が委託元の利用目的達成の範囲でのみ処理するのか、相手方自身の目的で利用するのか、共同利用として法定事項を表示しているのかという実態で判断します。

Section 16

第三者提供・委託・共同利用の書き分けの結論

第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。

第三者提供・委託・共同利用の書き分けは、次の一文に集約できます。

相手方が自社目的で使うなら第三者提供、委託元の目的達成のためだけに処理するなら委託、本人に示した範囲・目的・項目・責任者のもとで複数事業者が一体利用するなら共同利用です。

ただし、現実の企業法務では、広告、AI、SaaS、グループ経営、共同事業、M&A、海外委託が重なり、単純な三分類だけでは足りません。実務上は、データマッピング、プライバシーポリシー、契約書、同意文、共同利用公表事項、委託先管理、記録義務、外国移転、内部監査を一体で設計する必要があります。

最終的な書き分けの基準は、文言ではなく実態です。社内で「これは委託と呼ぶ」「これは共同利用と書く」と決める前に、本人から見た予測可能性、提供先の利用目的、管理責任、契約上の制御、技術的制御、外国移転、記録義務を確認します。その積み重ねこそが、企業法務における個人情報ガバナンスの核心です。

Reference

参考資料・出典

公的資料・制度資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • 個人情報保護委員会「第三者提供時の確認・記録義務に関するガイドライン」
  • 個人情報保護委員会「外国にある第三者への提供に関するガイドライン」
  • 個人情報保護委員会FAQ「外国にある第三者への個人データの委託に関する説明」
  • e-Gov法令検索「個人情報の保護に関する法律」