個人データを外部者へ渡す場面で、第三者提供、委託、共同利用のどれとして書くべきかを整理します。本人同意、契約条項、記録義務、外国移転、社内監査まで実務で確認できます。
個人データを外部者へ渡す場面で、第三者提供、委託、共同利用のどれとして書くべきかを整理します。
第三者提供・委託・共同利用の書き分けの結論と読み方を整理します。
次の比較一覧は、第三者提供・委託・共同利用の最初の見分け方を整理したものです。読者にとって重要なのは、外部者が誰の目的で使うかにより、本人同意、契約、記録、監督が変わる点です。三つの項目を横に見比べ、どの分類に近いかを読み取ってください。
外部者が自己の目的・判断で個人データを利用する場面です。本人同意、例外、記録義務、外国移転を検討します。
委託元の利用目的達成のため、外部者が委託された範囲でのみ処理する場面です。委託先監督と目的外利用禁止が中心です。
複数事業者が、本人に示した目的・範囲・項目・責任者のもとで一体的に利用する場面です。
「第三者提供・委託・共同利用の書き分け」は、単なるプライバシーポリシーの表現問題ではありません。個人情報保護法上、本人同意の要否、通知・公表事項、委託先監督、共同利用に係る責任主体、第三者提供記録、外国移転規制、委託契約・共同利用契約・データ提供契約の設計が連鎖的に変わります。したがって、法務担当者、企業内弁護士、外部弁護士、個人情報保護・プライバシー担当、コンプライアンス担当、内部監査担当、IT・AI・データ法務担当、M&A・組織再編法務担当、情報セキュリティ担当は、用語の定義だけでなく、実態に即して「誰の目的で、誰の管理責任において、誰がどの範囲で個人データを取り扱うのか」を文書化しなければなりません。
このページの結論は明快です。外部者が自社の目的で個人データを利用するなら、原則として第三者提供です。外部者が委託元の利用目的達成のため、委託された範囲でのみ処理するなら委託です。複数の事業者が、あらかじめ本人に分かる形で、一定の目的・範囲・項目・責任者を示して一体的に利用するなら共同利用です。ただし、実務では、グループ会社、広告配信、CRM・CDP、クラウド、AI学習、データ分析、アンケート調査、業務提携、共同キャンペーン、フランチャイズ、M&Aデューデリジェンス、越境委託が混在するため、名称ではなく実態で分類する必要があります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
個人情報保護法の実務では、社外にデータを渡す場面を何でも「第三者提供」と呼ぶと過剰規制になり、逆に何でも「委託」と呼ぶと違法な本人同意回避になり得ます。共同利用も便利な制度ですが、共同利用者の範囲や利用目的を広げすぎると、本人から見て予測不能なデータ共有となり、制度趣旨を外れます。
特に問題となるのは、次のような場面です。
これらは一見似ていますが、法的整理は異なります。たとえば、個人情報保護委員会の通則ガイドラインは、法27条5項に基づき、委託、事業承継、共同利用の一定の場合には提供先を「第三者に該当しない」と整理しています。他方、同ガイドラインは、委託先は委託された業務の範囲内でのみ取り扱うことができ、委託された業務以外に個人データを取り扱うことはできないとしています。
したがって、文書上の書き分けは次のように行う必要があります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
個人情報保護法は、「個人情報」「個人データ」「保有個人データ」「個人関連情報」「仮名加工情報」「匿名加工情報」などを使い分けています。第三者提供・委託・共同利用の議論で中心となるのは、原則として個人データです。通則ガイドラインも、法が複数の概念を使い分け、それぞれ義務が異なることに注意を要するとしています。
実務上は、「社外に渡す情報が個人データなのか」「相手方で個人データとして取得されるのか」「個人関連情報として法31条の問題になるのか」を最初に判定します。ここを飛ばして第三者提供・委託・共同利用のラベルだけを貼ると、後続の義務が崩れます。
個人関連情報については、個人データの第三者提供における委託、事業承継、共同利用に相当する例外規定はないとされています。個人情報保護委員会Q&Aは、個人関連情報の第三者提供について、法27条5項各号に相当する例外規定はなく、法31条1項の適用の有無は、提供先が個人関連情報を個人データとして取得することが想定されるかどうかで判断すると説明しています。
したがって、Cookie、広告ID、閲覧履歴、端末識別子、購買傾向、位置情報のような情報については、提供元では個人データでなくても、提供先で会員ID等と紐付いて個人データ化される可能性があります。これを「委託」や「共同利用」と安易に書くのではなく、個人関連情報の提供規制も含めて整理する必要があります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
個人情報取扱事業者は、法定例外を除き、あらかじめ本人の同意を得ないで個人データを第三者に提供してはいけません。通則ガイドラインは、第三者提供に当たり、本人の同意なく提供してはならず、同意取得時には本人が判断するために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならないと説明しています。
この原則から出発すると、社外に個人データを渡す場合は、まず「第三者提供ではない」といえる根拠があるかを確認します。根拠がなければ、第三者提供として、本人同意、法定例外、オプトアウト、外国移転、記録義務などを検討します。
法27条5項は、一定の委託、事業承継、共同利用について、提供を受ける者は第三者に該当しないと定めます。通則ガイドラインは、これらの場合、提供先は形式的には別主体であっても、本人との関係で提供主体と一体のものとして取り扱う合理性があるため、第三者に該当しないと説明しています。
この「第三者に該当しない」という表現は重要です。委託や共同利用は、第三者提供の一種ではありません。むしろ、一定要件を満たす限り、第三者提供規制の場面で第三者として扱わないという構造です。したがって、プライバシーポリシーや契約書で、委託先や共同利用者を漫然と「第三者提供先」と書くと、制度構造を誤って伝えるおそれがあります。
次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。
| 項目 | 第三者提供 | 委託 | 共同利用 |
|---|---|---|---|
| 基本イメージ | 外部者に個人データを渡し、外部者が自己の目的・判断で利用する | 委託元の利用目的達成のため、外部者が処理する | 複数事業者が一定の範囲で一体的に利用する |
| 法的根拠 | 法27条1項、2項等 | 法27条5項1号、法25条 | 法27条5項3号、法27条6項 |
| 本人同意 | 原則必要。例外あり | 法27条1項の本人同意は不要。ただし利用目的内であることが前提 | 法27条1項の本人同意は不要。ただし法定事項の通知または容易に知り得る状態が必要 |
| 提供先の利用目的 | 提供先自身の利用目的 | 委託元の利用目的の達成に必要な範囲 | 共同利用者の利用目的。本人が通常予期し得る範囲が重要 |
| 提供先の独自利用 | あり得る | 原則不可。委託業務外利用は不可 | 共同利用目的内で可能 |
| 主な文書 | 同意文、第三者提供条項、データ提供契約、記録 | 委託条項、DPA、委託先管理台帳、再委託承認 | 共同利用公表事項、共同利用契約、責任者設計 |
| 記録義務 | 原則あり。例外あり | 法27条5項該当なら確認・記録義務は適用されない | 法27条5項該当なら確認・記録義務は適用されない |
| 外国移転 | 法28条を検討 | 外国委託でも法28条を検討 | 外国共同利用でも法28条を検討 |
| 典型例 | 提携先への顧客紹介、広告会社への独自利用目的のデータ提供 | 発送代行、コールセンター、データ入力、保守、給与計算 | グループ会社間の顧客管理、人事管理、共同サービス提供 |
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
次の判断の流れは、外部提供・利用形態を実態から分類する順番を示しています。読者にとって重要なのは、最初に対象情報を確認し、その後で別主体性、相手方の目的、共同利用の予測可能性、外国移転を順に見る点です。上から順に、どの確認で分類が分かれるかを読み取ってください。
個人データ、個人関連情報、匿名加工情報、統計情報のどれかを確認します。
親会社、子会社、代理店、共同研究先、クラウド事業者は別主体として検討します。
契約、監督、再委託、目的外利用禁止を確認します。
本人同意、法定例外、記録義務を確認します。
公表事項、共同利用契約、法28条、外的環境把握を確認します。
まず、渡す情報が個人データか、個人関連情報か、匿名加工情報か、統計情報かを確認します。統計情報で、特定個人との対応関係が排斥されている限り、個人関連情報にも該当しないとされています。しかし、単に氏名を削除しただけのデータ、IDが残るデータ、提供先で容易に照合できるデータは、依然として個人データまたは個人関連情報として扱う必要があります。
会社内部の従業者へのアクセス付与は、通常、第三者提供ではありません。ただし、親会社、子会社、兄弟会社、フランチャイズ加盟店、代理店、共同研究先、業務提携先、広告プラットフォーム、クラウド事業者は、別法人・別主体です。グループ会社だから同一主体という扱いにはなりません。別主体に提供する以上、第三者提供、委託、共同利用、事業承継、外国移転、個人関連情報規制のいずれかを検討します。
最も重要なのは「誰の目的か」です。
個人情報保護委員会Q&Aは、委託先が委託元から提供された個人データを、委託内容と関係のない自社営業活動等のために利用する場合や、複数の委託元から提供された個人データを区別せず混ぜて取り扱う場合を、委託に該当しない例として示しています。
共同利用は、本人から見て、当初提供した事業者と一体のものとして取り扱われることに合理性がある場合に認められます。通則ガイドラインは、既に取得している個人データを他の事業者と共同利用する場合、共同利用者の範囲や利用目的等が、本人が通常予期し得ると客観的に認められる範囲内である必要があるとしています。
したがって、共同利用は「本人同意を取らずに広く共有できる便利な逃げ道」ではありません。共同利用者の範囲、利用目的、データ項目、責任者を明確化し、本人が容易に知り得る状態に置く必要があります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
第三者提供は、提供先が提供元とは別の主体として、提供先自身の業務・目的・責任で個人データを利用する場面です。たとえば、A社がB社に見込み顧客リストを渡し、B社が自社サービスの営業に使う場合、B社は単なる処理代行者ではありません。B社自身の目的で利用するので、原則として第三者提供として整理します。
第三者提供として書くべき典型例は、次のとおりです。
以下は一般的な例であり、実際には事業内容、データ項目、提供先、提供方法、本人同意の取得方法、外国移転の有無に応じて修正します。
特定の提供が予定されている場合は、抽象的な「第三者に提供することがあります」だけでは足りません。本人が同意判断をできる程度に、提供先の属性、利用目的、項目、提供方法を具体化します。
第三者提供同意は、利用規約の奥に埋め込むだけでは不十分となるリスクがあります。本人が何に同意しているか判断できるよう、分離表示、チェックボックス、提供先一覧、リンク先の明確化、変更時の再同意要否を検討します。
第三者提供契約では、委託契約とは異なり、提供先が独自に個人データを取り扱うことを前提にします。そのため、次の点を明確にします。
第三者提供の場合、提供者・受領者には確認・記録義務が問題となります。確認・記録義務ガイドラインは、個人データが不正に流通した場合に流通経路を事後的に特定できるよう、第三者に個人データを提供する場合または第三者から提供を受ける場合には、第三者の氏名等の記録を作成・保存する必要があると説明しています。
ただし、法27条1項各号に該当する場合や、法27条5項各号に該当する委託・事業承継・共同利用については、確認・記録義務が適用されないとされています。第三者提供として書く場合は、記録義務の要否も同時に設計する必要があります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
委託とは、個人情報取扱事業者が、利用目的の達成に必要な範囲内で、個人データの取扱いの全部または一部を外部者に行わせることです。通則ガイドラインは、委託に伴う提供の場合、提供先は第三者に該当せず、委託先は委託された業務の範囲内でのみ取り扱うことができ、委託業務以外に当該個人データを取り扱うことはできないと説明しています。
委託の典型例は、発送代行、データ入力、給与計算、コールセンター、システム保守、クラウド運用、決済処理、請求書発行、メール配信、キャンペーン事務局、アンケート集計、本人確認業務、カスタマーサポートです。
委託は、法27条5項1号に該当すれば第三者提供ではありません。そのため、第三者提供欄に「委託先に第三者提供します」と書くのは避ける。通常は、第三者提供とは別の見出しで記載します。
委託先名をすべて列挙する義務が常にあるわけではないが、透明性、消費者理解、委託先の重要性、データの性質、業界慣行、外国移転の有無に応じて、主要委託先または委託業務類型を公表することが望ましい場面があります。
個人情報保護法25条は、個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を求める。通則ガイドラインは、委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握を挙げ、再委託についても事前報告・承認や監査等を通じて確認することが望ましいとしています。
委託契約には、少なくとも次の事項を入れる。
委託先が提供を受けた個人データを自社のために利用する場合、委託の範囲を逸脱しやすいです。個人情報保護委員会Q&Aは、委託先が委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければならず、委託業務の範囲外で統計情報に加工して自社のために用いることはできないと説明しています。
また、広告配信の委託に伴って取得した本人の反応等の別の個人データについても、委託先が自社のために利用することはできないとされています。委託先が独自に取得した個人データまたは個人関連情報と、委託元から提供された個人データを本人ごとに突合することもできないとされています。
このため、次のような条項は、委託契約上、明確に規定すべきです。
外部事業者のみがアンケート調査に係る個人データを取り扱い、調査依頼者が一切個人データの取扱いに関与しない場合、通常は委託ではなく、外部事業者が自ら個人データを取り扱う主体と解されます。他方、依頼者がデータ内容を確認できる、契約上データ取扱権限がある、外部事業者の取扱いに制限が設けられる場合には、委託と解され得ます。
この違いは、プライバシーポリシーと契約書の書き分けに直結します。依頼者が個人データを受け取らない統計調査なら、依頼者側で「委託先に個人データを提供する」と書くのは誤りとなる場合があります。
個人情報データベース等に含まれる相手の氏名・住所等宛てに荷物等を送付する行為は一般に委託に該当するとされています。一方、配送事業者が配送を依頼された中身の詳細に関知しない通常の場合、中身の個人データについてまで取扱いの委託をしているものではないと解されます。
クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合、第三者への「提供」には該当しませんが、利用者である個人情報取扱事業者は安全管理措置を講じる必要があります。外国クラウドの場合には、外国の制度等の把握や保有個人データの安全管理措置に関する本人の知り得る状態への対応が問題となります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
共同利用は、特定の者との間で共同して利用される個人データを提供する場合で、法定事項をあらかじめ本人に通知し、または本人が容易に知り得る状態に置いているとき、提供先を第三者に該当しないものとする制度です。
通則ガイドラインは、共同利用について、本人から見て当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性がある場合に、第三者に該当しないと説明しています。
共同利用では、次の事項をあらかじめ本人に通知し、または本人が容易に知り得る状態に置く必要があります。
通則ガイドラインは、共同利用者の範囲について、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があるとしています。名称を全て列挙しなくてもよい場合はあるが、本人が利用者の範囲を判断できることが必要です。
共同利用者の範囲を「当社の提携先」や「当社が必要と認める者」とだけ書くのは危険です。本人がどの範囲の事業者に利用されるのか判断できないためです。
通則ガイドラインは、共同利用者間で取り決めておくことが望ましい事項として、共同利用者の要件、各共同利用者の個人情報取扱責任者・問合せ担当者・連絡先、漏えい等防止、目的外利用・加工・複写・複製の禁止、共同利用終了後の返還・消去・廃棄、取決め違反時の措置、事件・事故発生時の報告・連絡、共同利用終了手続などを示しています。
共同利用契約では、次の事項を明確にします。
共同利用では、項目や共同利用者の範囲を後から自由に広げられるわけではありません。通則ガイドラインは、利用目的や責任者の変更について通知・容易に知り得る状態への措置を定める一方、共同利用される個人データの項目および共同利用者の範囲の変更は原則として認められないとしています。ただし、本人同意を得た場合、名称変更、事業承継等の場合は引き続き共同利用できる例が示されています。
したがって、共同利用を始める時点で、将来の事業再編、グループ会社増減、サービス統合、共同キャンペーンの追加を見据えて、過不足なく範囲を設計する必要があります。ただし、将来何でも含められるように過度に抽象化すると、本人が判断できない記載となります。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
グループ会社間の共有は、自動的に共同利用になるわけではありません。
グループ内であっても、本人から見れば別法人です。共同利用にするなら、共同利用者の範囲、目的、項目、責任者を明確にします。第三者提供にするなら、同意や記録を整備します。委託にするなら、親会社・子会社のどちらが委託元で、どの業務を処理しているのかを契約で定めます。
広告配信では、「委託」と「第三者提供」の境界が特に問題となります。
委託といえるのは、広告配信事業者が委託元の指示に従い、委託元の広告配信業務の範囲内でのみ個人データを取り扱う場合です。これに対し、広告配信事業者が自社データベースと突合し、自社ネットワークで独自にターゲティング、プロファイリング、広告効果測定、モデル改善、他広告主向け最適化を行う場合、委託と整理するのは困難になり得ます。
個人情報保護委員会Q&Aは、委託先が委託元から提供された個人データを独自取得データまたは個人関連情報と本人ごとに突合することはできないとし、SNS運営事業者やポイントサービス運営事業者との突合事例を示しています。
委託先が、委託業務の処理の一環として分析技術を改善する場合について、Q&Aは個別判断としつつ、委託元の利用目的達成に必要な範囲内である限り、自社の分析技術の改善のために利用できる場合があると説明しています。しかし、これは無限定なAI学習許諾ではありません。
実務上は、次の点を明確にします。
委託先が自社サービス全般のモデル改善に利用する場合は、委託の範囲を超えるおそれが高いです。第三者提供、共同利用、本人同意、匿名加工情報、統計情報、秘密計算、合成データなどの別整理を検討します。
共同キャンペーンでは、応募フォームをどちらが運営し、どちらが個人データを取得し、どちらが何に使うかで結論が変わります。
応募画面では、「主催者」「個人データの取得主体」「共同利用の有無」「第三者提供の有無」「委託先の有無」を一体として表示します。
フランチャイズ本部と加盟店、メーカーと販売店、保険会社と代理店、旅行業者と手配先、学校と提携事業者なども、ラベルだけでは決まりません。
合併、分社化、事業譲渡等に伴い事業が承継される場合、法27条5項2号により第三者に該当しない場合があります。通則ガイドラインは、事業承継後も、提供前の利用目的の範囲内で利用しなければなりませんとし、交渉段階の提供についても、利用目的、取扱方法、漏えい時措置、交渉不調時の措置等、安全管理措置を遵守させる契約を締結する必要があると説明しています。
M&A実務では、デューデリジェンス資料室に顧客・従業員データを置く場合、匿名化、マスキング、閲覧制限、NDA、利用目的制限、アクセスログ、交渉不成立時の削除を設計します。
国内法上は委託や共同利用で第三者に該当しない場合でも、外国にある第三者に個人データを提供する場合は法28条が別途問題となります。個人情報保護委員会FAQは、外国にある第三者に個人データの取扱いを委託する場合も、一定の場合を除き、法28条1項に基づき、あらかじめ外国にある第三者への提供を認める旨の本人同意を得る必要がありますと説明しています。
外国委託や外国クラウドでは、次の論点を確認します。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
プライバシーポリシーでは、次の順序で書くと誤解が少ありません。
委託、第三者提供、共同利用を一つの見出しにまとめると、本人にとって違いが分かりにくい。特に共同利用は法定事項の表示が必要であり、委託は委託先監督の説明が中心であり、第三者提供は本人同意・例外・記録が中心であるため、見出しを分ける。
契約書では、表題ではなく条項の中身で書き分ける。
次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。
| 契約類型 | 主な条項 | 書いてはいけない曖昧表現 |
|---|---|---|
| 委託契約・DPA | 委託業務、目的外利用禁止、再委託、監査、安全管理、返還削除 | 「受託者は必要に応じて自由に利用できる」 |
| 第三者提供契約 | 提供根拠、同意取得、提供先目的、再提供、記録、本人対応 | 「提供先は委託先としても自己利用できる」 |
| 共同利用契約 | 共同利用目的、共同利用者範囲、責任者、本人対応、終了時処理 | 「関係会社その他必要な者が利用する」 |
| 業務提携契約 | 取得主体、共同利用か第三者提供か、同意画面、委託先管理 | 「両社で適切に共有する」 |
| クラウド契約 | 取扱有無、アクセス権限、保管国、再委託、ログ、削除 | 「当社はデータを利用しません」だけで詳細なし |
社内台帳では、次の列を設ける。
次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。
| 列 | 記載例 |
|---|---|
| 処理名 | 会員向けメール配信 |
| データ主体 | 会員 |
| データ項目 | 氏名、メールアドレス、購買履歴 |
| 提供・移転先 | メール配信ベンダーX社 |
| 相手方の所在国 | 日本、サポートアクセス ― 米国 |
| 分類 | 委託 |
| 分類理由 | 当社の利用目的達成のため、X社は配信処理のみ実施し、独自利用不可 |
| 根拠 | 法27条5項1号、法25条 |
| 本人向け表示 | プライバシーポリシー「委託」欄 |
| 契約 | DPA締結済、再委託承認制 |
| 記録義務 | 法27条5項該当のため第三者提供記録対象外 |
| 外国移転 | 外国アクセスあり。外的環境把握、法28条確認 |
| 管理責任者 | マーケティング部、法務部、情報セキュリティ部 |
| 見直し日 | 2026-06-23 |
この台帳は、プライバシーポリシー、契約、システム設計、監査、漏えい対応をつなぐ基礎資料となります。
社内稟議では、次のような判断メモを添付します。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
以下の順で判断します。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
分類は原則として委託です。発送代行会社は、委託元のキャンペーン案内発送という利用目的の達成に必要な範囲で、氏名・住所等を処理するだけです。プライバシーポリシーでは「委託」欄に記載し、第三者提供欄には含めません。契約では、目的外利用禁止、再委託制限、発送後の削除、誤発送時の報告を定めます。
提携先が自社商品を案内するために利用するなら、第三者提供です。本人同意を取得し、提供先、提供目的、データ項目、提供方法を明示します。提供者・受領者の記録義務も検討します。
グループ各社が会員管理、ログイン、購入履歴連携、問い合わせ対応を一体として行うなら、共同利用が候補となります。ただし、各社が独自営業に自由利用する場合は、共同利用目的に含めることの予測可能性、第三者提供同意の要否を検討します。共同利用者の範囲は、会社一覧または明確な範囲で示します。
広告プラットフォームが自社ユーザーデータと突合し、自社広告ネットワークで配信・最適化する場合、単純な委託とは整理しにくいです。第三者提供、個人関連情報提供、本人同意、広告ID規制、プラットフォーム規約、外国移転を総合検討します。委託と書く場合は、本人ごとの突合や自社利用が禁止されることを契約・技術で担保する必要があります。
国内法上は委託であっても、外国にある第三者への提供規制が問題となります。法28条上の同意、同等水準国、相当措置体制、本人への情報提供、外的環境把握、委託先監督、再委託管理を確認します。プライバシーポリシーでは、委託欄だけでなく、外国移転・安全管理措置の記載も整備します。
学術研究例外、共同利用、第三者提供同意、倫理審査、医療・研究分野のガイドライン、要配慮個人情報、匿名加工・仮名加工、契約上の再提供禁止を総合検討します。共同研究という名称だけで共同利用になるわけではありません。
委託元の利用目的達成に必要な範囲内か、委託業務の品質改善に限られるか、他社データと混合されるか、委託終了後もモデルを利用するかで判断します。自社横断的なモデル改善に使うなら、委託の範囲外となるリスクがあります。第三者提供同意、匿名加工情報、統計情報、別契約を検討します。
実務で確認すべき項目を段階別に整理します。
個別案件への断定ではなく、一般的な制度説明として確認します。
問題 ― 委託が法27条5項1号に該当するなら、提供先は第三者に該当しません。第三者提供欄に委託先を含めると、本人に誤解を与える。
修正 ―
問題 ― 共同利用者の範囲が不明確で、本人がどの事業者まで利用されるか判断できません。
修正 ―
ただし、一覧の更新管理、変更時の本人対応、範囲拡大の可否を別途検討します。
問題 ― 委託先の自社目的利用を認めると、委託の範囲を超える可能性があります。
修正 ―
問題 ― 国内の第三者提供規制上は委託でも、外国にある第三者への提供規制は別途問題となります。
修正 ―
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
第三者提供・委託・共同利用の書き分けは、法務部だけで完結しません。営業、マーケティング、プロダクト、情報システム、セキュリティ、経理、人事、内部監査、経営企画、M&A担当、海外拠点が同じ基準で判断できる仕組みが必要です。
社内規程には、次を定めます。
次の表は、この章の主要項目を比較して整理したものです。読者にとって重要なのは、列ごとの差が実務上の判断や対応時期に直結する点です。各列を横に見比べ、どの項目で義務、リスク、準備事項が変わるかを読み取ってください。
| 役割 | 主な責任 |
|---|---|
| 事業部 | 利用目的、データ項目、提供先、業務実態の説明 |
| 法務 | 法的分類、契約、同意、共同利用公表事項、記録義務の判断 |
| 個人情報保護担当 | プライバシーポリシー、本人対応、台帳、教育 |
| 情報セキュリティ | 安全管理措置、クラウド審査、アクセス制御、ログ |
| 調達 | 委託先審査、契約締結、再委託管理 |
| 内部監査 | 運用状況、台帳、契約、記録、証跡の監査 |
| 経営 | 高リスク案件の承認、方針決定 |
内部監査では、次を確認します。
個別案件への断定ではなく、一般的な制度説明として確認します。
常に列挙が必要とは限りません。ただし、委託先の重要性、データの機微性、本人の予測可能性、外国移転、消費者向け透明性を考慮し、主要委託先や委託業務類型を記載することは実務上有用です。
法27条1項の第三者提供同意は不要となります。ただし、共同利用をする旨、共同利用データ項目、共同利用者の範囲、利用目的、管理責任者情報を、あらかじめ本人に通知し、または本人が容易に知り得る状態に置く必要があります。
よくありません。グループ会社間でも、各社が何の目的で利用するかにより、第三者提供、委託、共同利用、事業承継のいずれかが変わります。共同利用にするなら法定事項を明確に表示します。
委託業務の範囲内で統計情報に加工することはあり得ますが、委託業務の範囲外で委託先が自社のために統計情報を作成・利用することはできないとされています。契約で明確に制限する必要があります。
第三者提供は、提供先が別主体として自己の目的で利用することを前提に、本人同意等を求める制度です。共同利用は、本人から見て提供元と共同利用者を一体として取り扱う合理性がある場合に、法定事項をあらかじめ示すことで第三者に該当しないと扱う制度です。
委託では、委託先は委託元の利用目的達成のために、委託された範囲でのみ処理します。共同利用では、共同利用者が公表された共同利用目的の範囲内で自ら利用します。委託先が共同利用者の範囲に含まれていても、委託先との関係が当然に共同利用になるわけではなく、委託元の監督義務が消えるわけでもありません。
不要とはいえません。外国にある第三者に個人データの取扱いを委託する場合も、一定の場合を除き、法28条1項に基づく外国第三者提供同意等が必要となると説明されています。
クラウド事業者が個人データを取り扱わないこととなっている場合、第三者への提供には該当しないとされています。ただし、安全管理措置、外国の制度把握、サーバ所在地・事業者所在地に関する本人の知り得る状態への対応が問題となる場合があります。
共同利用者の範囲の変更は原則として認められないとされています。本人同意を得る、名称変更にとどまる、事業承継など、限定的な場合を除き、最初の設計と表示が重要です。
タイトルでは決まりません。相手方が委託元の利用目的達成の範囲でのみ処理するのか、相手方自身の目的で利用するのか、共同利用として法定事項を表示しているのかという実態で判断します。
第三者提供・委託・共同利用の書き分けについて、実務上の判断材料を整理します。
第三者提供・委託・共同利用の書き分けは、次の一文に集約できます。
相手方が自社目的で使うなら第三者提供、委託元の目的達成のためだけに処理するなら委託、本人に示した範囲・目的・項目・責任者のもとで複数事業者が一体利用するなら共同利用です。
ただし、現実の企業法務では、広告、AI、SaaS、グループ経営、共同事業、M&A、海外委託が重なり、単純な三分類だけでは足りません。実務上は、データマッピング、プライバシーポリシー、契約書、同意文、共同利用公表事項、委託先管理、記録義務、外国移転、内部監査を一体で設計する必要があります。
最終的な書き分けの基準は、文言ではなく実態です。社内で「これは委託と呼ぶ」「これは共同利用と書く」と決める前に、本人から見た予測可能性、提供先の利用目的、管理責任、契約上の制御、技術的制御、外国移転、記録義務を確認します。その積み重ねこそが、企業法務における個人情報ガバナンスの核心です。