第三者提供とは?厳格化する個人情報の取り扱いと注意点

個人情報保護法法律 2024.02.26
第三者提供とは?厳格化する個人情報の取り扱いと注意点
>>「個人情報保護」対応、準備できていますか?今すべき対策を知りたい方はこちら

個人情報の取り扱いやデータの第三者提供におけるルールは今、世界的に厳格化が進んでいます。IT技術の進歩の中、そのルールはこの先も変化や強化が進むことが考えられ、企業には柔軟かつ確実な対応が求められます。

ここでは、「データの第三者提供時の取り扱い」やその注意点について、「改正個人情報保護法」の内容を踏まえながらご紹介します。

1.「第三者提供」とは

第三者提供とは、個人情報保護法の概念において「個人データ(個人情報のうち個人情報データベース等を構成するもの)を個人情報取扱事業者及び本人以外に提供すること」を指します。

個人情報保護法では、第三者提供に際してはユーザー本人から同意を得るなど、所定のルールを遵守するよう定めています。違反時には法人の場合で最大1億円という高額な罰金が科せられるおそれがあり、企業は十分な対策を講じる必要があります。

2.アドレサブル広告も個人データの第三者提供に該当する

近年、GoogleやAppleなどのベンダーによる3rd Party Cookie規制が強まっており、その影響で従来のようなCookieを活用したマーケティング手法が利用できなくなってきています。このような状況の中、Cookieに依存しない新たなマーケティング手法として活用されているのが、アドレサブル広告です。中には、多くの予算を割いて活用しているマーケターの方もいらっしゃるのではないでしょうか。

アドレサブル広告とは、自社が保有している顧客情報を利用して作成したリストに対し、広告配信を行う手法のことを指します。特に、顧客のメールアドレスを広告媒体が持つデータと突合して利用するケースが多いです。Googleが提供する「カスタマーマッチ広告」や、Meta(旧Facebook・Instagram広告)のカスタムオーディエンス広告などもアドレサブル広告に該当します。

これらの広告配信は、上記のとおり顧客のメールアドレス等の個人情報にあたり得る情報を利用するため、マーケティング担当の方は、法律対応が急務です。

では具体的に、どのような対応が求められるのでしょうか。

3.原則としてユーザーの同意取得が重要になる

最も重要なのは、ユーザー本人の同意が必要な点です。個人情報保護法では第三者提供に際して、原則としてユーザー本人の同意を得るよう義務付けています。

第二十七条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(後略) 引用:個人情報の保護に関する法律

利用目的・取得するデータ・第三者への提供方法・提供停止の申し出を受け入れる旨の通知など、ユーザーに対して説明すべき事項は多岐にわたります。企業としては、ユーザー本人の同意を得るための枠組み作りが喫緊の課題です。

また、アドレサブル広告において、外国にある広告媒体社のサービスを利用する場合、外国にある第三者への提供(個人情報保護法28条)への対応も必要になります(後記「6.外国にある第三者に提供する場合の取扱いルール」ご参照)。

また、第三者提供を受ける事業者にも、提供者側の個人データの取得の経緯等を確認する必要があります。受け取る側だからといって対策を怠ることなく、データを扱う立場として責任を負うことを覚えておきましょう。

4. ユーザーの同意が不要なケース

一方、例外的に第三者提供の同意が不要なケースもあります。下記のような場合がそれに当たります。

警察・裁判所による照会対応など法令に基づく要請

警察や裁判所、税務署などの公的機関から法令に則った要請を受けた場合等には、同意が免除されます。公共の福祉が優先されるためです。

(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合 引用:個人情報の保護に関する法律

生命・身体・財産の保護に必要

災害時など本人の同意を得ることが困難で、かつ生命・身体・財産の保護のために必要と判断された場合も免除対象です。たとえば、輸血のために被災者の血液型や病歴を知る必要がある場合などが該当します。

(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 引用:個人情報の保護に関する法律

児童虐待の情報など「公衆衛生・児童の健全育成に必要」

虐待を受けている子どもの情報を関連機関(学校・保護施設など)で共有する場合も同意が免除されます。生命の危険にさらされていることはもちろん、それに対して公に主張することが難しい児童や幼児の安全を守るためでもあります。

(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 引用:個人情報の保護に関する法律

ここまでの3つはいずれも、「同意取得が難しいが、身の安全など個人情報の保護より優先されるべき事柄がある」と判断される場合において義務が免除されるケースです。

委託・共同利用であれば同意が不要

そのほか、個人データの取扱いの委託先へ提供をする場合や、共同利用に伴って提供する場合おいては例外的に同意が必要ありません。

ただし、委託においては「委託先の監督義務」が課されており、共同利用では「共同して利用される個人データの項目等所定の事項を本人に通知又は容易に知り得る状態に置くこと」が求められています。

>>「個人情報保護」対応、準備できていますか?今すべき対策を知りたい方はこちら

5. 第三者提供する場合の取扱いのルール

ここからは、第三者提供にまつわる取扱いルールを見ていきましょう。今回の改正により、現行の規則よりも提供時・受領時ともに厳しいルールが定められたため注意が必要です。

個人データを提供する側のルール

まずは、個人データを提供する事業者のルールを解説します。

個人情報を提供したことを記録する

第三者提供を行う際、事業者は日時・提供先など以下の情報を、文書・電磁的記録・マイクロフィルムのいずれかで記録する義務があります。

【本人の同意により個人データを第三者に提供した場合】

  • 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(中略)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
  • 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  • 当該個人データの項目

【オプトアウト手続きにより個人データを第三者に提供した場合】

  • 当該個人データを提供した年月日
  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(中略)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
  • 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  • 当該個人データの項目

出典:個人情報の保護に関する法律施行規則より一部抜粋・改変

これはどこから提供された情報なのかその責任の所在を明確にして、データの無責任な二次提供、三次提供を防ぐためです。なお、オプトアウトについては記事後半で解説します。

ユーザー本人の開示請求に応じる

今回の改正により、上記の「第三者提供記録」をユーザー本人が開示請求できるようになりました。開示請求を受けた場合の手順や注意点は、以下の記事で詳しく解説しております。

>>企業は個人情報開示請求にどう対応するべきか 手順と注意点を解説

個人データを受け取る側のルール

続いて、個人データを受け取る側の事業者が遵守すべきルールです。受け取る側のルールは大きく「確認義務」と「記録義務」の2種類に分類できます。

確認義務

第三者提供を受ける事業者は、以下の通り「提供元の代表者の氏名や住所等」と「当該個人データの取得経緯等」について確認する義務を負います。

(第三者提供を受ける際の確認等) 第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(中略)
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
(後略) 引用:個人情報の保護に関する法律

すなわち、当該個人データが合法的に取得されたものであるのか、受け取る側でも確認しなければいけません。確認すべき取得経緯の具体的な内容は、ガイドラインでは以下の通り言及されています。

  • 取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)
  • 取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)など
引用:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)

なお、確認すべきは「今回、自社とやり取りする第三者の取得経緯」であり、それ以前に遡ってデータの出所を明らかにする義務はありません。

記録義務

実際に第三者提供を受けた後には、速やかに「第三者提供を受けたこと」に関する記録を作成・保管する義務があります。文書・電磁的記録・マイクロフィルムのいずれかにより以下の内容を記録しましょう。

【本人同意により第三者提供を受けた場合】

  • 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  • 当該第三者による当該個人データの取得の経緯
  • 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  • 当該個人データの項目

【オプトアウトにより第三者提供を受けた場合】

  • 個人データの提供を受けた年月日
  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  • 当該第三者による当該個人データの取得の経緯
  • 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  • 当該個人データの項目
  • 個人情報保護委員会により公表されている旨

【私人など(個人情報取扱事業者以外など)から第三者提供を受ける場合】

  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  • 当該第三者による当該個人データの取得の経緯
  • 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  • 当該個人データの項目

出典:「個人情報の保護に関する法律施行規則」

6.外国にある第三者に提供する場合の取扱いルール

IT技術の発展により個人データが容易に国境を越えてやりとりされるように時代が変化していることを念頭に、改正法では「外国にいる第三者に提供する場合の取扱いルール」も厳格化しました。法律では、以下の通りに定められています。
(外国にある第三者への提供の制限)
第二十八条 個人情報取扱事業者は、外国(中略)にある第三者(中略)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。 引用:個人情報の保護に関する法律

すなわち、事業者は一部の例外を除いて、「外国にある第三者への個人データの提供」をする旨について本人から同意を得る必要があります。具体的に本人へ情報提供すべきだと法律により定められている事項は以下の通りです。

  • 当該外国の名称
  • 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報
引用:個人情報の保護に関する法律施行規則

なお、そもそも提供先が外国の第三者に当たるかどうかの判断は、同一法人格内での行動なのかによります。たとえば、外国で法人格を取得している親企業に対して、子会社である日本法人が個人データを提供するような場合は、当該親会社は外国にある第三者に当たるため注意が必要です。

外国にある第三者への提供、本人同意が不要になる例外ケース

前述の第二十八条では、一部の例外として本人同意が不要となるケース(第一項各号に掲げる場合)が、以下の3点が定められています。

  • 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定める国にある場合
  • 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
  • 次の①から⑦までのいずれかに該当する場合(法第27条第1項各号関係)
    ① 法令に基づいて個人データを提供する場合(第1号関係)
    ②人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)
    ③公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難 である場合(第3号関係)
    ④国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)
    ⑤学術研究機関等が個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)(第5号関係)
    ⑥学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第6号関係)
    ⑦学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第7号関係)
引用:個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)

例外の定義は煩雑ですが、以下のポイントは必ず意識しておかなければいけません。

  • 「我が国と同等の水準にあると認められる個人情報保護制度を有している国」とは、EUと英国が該当する(2021年10月時点)
  • 例外の定義における「法令」には、外国の法令は含まれない
  • 「個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合」を例外の根拠とする場合、措置の実施状況や、措置に影響し得る当該国の制度等を定期的に確認しなければならない
  • 同じく「個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合」を例外の根拠とする場合、当該措置に関する情報を本人に提供しなければならないケースがある

7. 見落としがちな注意点

最後に、第三者提供の際に落とし穴となりうるポイントをご紹介しますので、ぜひ参考にしてください。

提供・受け取り記録は一部例外を除き3年間の保存義務がある

上述した「第三者提供記録」「第三者提供を受けた記録」は、一部の例外を除き最低3年間保存しておくよう定められています。

該当データの利用が終了した後でも削除してしまわないよう、期限が過ぎるまで整理しておきましょう。

本人からの申し出により提供を停止する義務がある

後述するオプトアウト手続き(改正法第二十七条2)により第三者提供をする場合、ユーザー本人から申請を受けたときには、速やかに第三者提供を停止しなければなりません。
また、事業者が当該保有個人データを利用する必要がなくなったときや、本人の権利や正当な利益が害され得る場合などには、オプトアウト手続きを活用していなくても、第三者提供の停止が必要なケースもあります。

加えて「ユーザーが停止を申請する方法(問い合わせ先等)」について、あらかじめプライバシーポリシーなどで公表しておかなければならない場合もあります。

どこにどのユーザーのデータが含まれているのかを把握しておかなければ、提供停止は困難です。社内の個人データ管理体制を整えておきましょう。

「オプトアウト」では提供できないデータがある

オプトアウトとは、事前に個人情報保護委員会の承認を得ることで「ユーザーが停止を申し出ない限り、常に第三者提供へ同意したとみなす」ルールです。実務上非常に便利なルールですが、今回の改正で、提供できるデータに制限が追加されました。すでに禁止されているものとあわせ、「要配慮個人情報」「オプトアウトで得た個人データ」「不正取得した個人データ」の3点に注意しましょう。

  • 要配慮個人情報

人種・犯罪歴・宗教・障害の有無など「差別や偏見に繋がるデータ」のことです。このような、ユーザーに不利益を与えかねないデータはオプトアウトできません。

なお、要配慮個人情報については以下の記事でも詳しく解説しております。

>>「要配慮個人情報」と「個人情報」の相違点を解説

  • オプトアウトで得た個人データ

「オプトアウトで第三者提供されたデータ」を受け取った事業者が、そのまま他の事業者に再度「第三者提供(オプトアウト)」してはならないというルールです。これにより、オプトアウトを許可されたデータが際限なく他の事業者へ再提供されてしまうことを防ぎます。

  • 不正取得した個人データ

当然ながら、不正に取得したデータもオプトアウトしてはいけません。ここで気をつけたいのは、自社はもちろんのこと、他社が不正に取得したデータも含まれる点です。上述の通り、受け取り側の事業者には、基本的にそのデータの取得経緯を確認する義務が課せられています。

8.対応に悩む場合はCMPの導入がおすすめ

マーケティング担当者が、他の業務と並行しながら最新情報に常にキャッチアップし、対応し続けるのは非常に非効率です。また、誤った認識のまま進めてしまうと最悪の場合は炎上に繋がるなどの大きなリスクも伴うでしょう。

Priv Labを運営している弊社Priv Techでは、ユーザーの同意取得やオプトアウトを仕組み化したCMP(同意管理プラットフォーム)を提供しています。CMPを導入すれば、同意取得から同意情報に基づいたマーケティングまで一貫して対応することができます。

特に、弊社が提供するCMP「Trust 360 同意管理」は数少ない国産のツールであり、導入までの手厚いサポートが特徴です。

CMPは、ただ導入するだけではなく細かな設定まで行わなければならないケースもあるため、サポートが手厚いベンダーを選んでおくと安心です。

すでに実施した対策に不安を感じている場合や、具体的な進め方が分からない場合など、まずはお気軽にご相談ください。

9. まとめ

今回の改正法の全面施行により、第三者提供においては提供側・受け取り側双方にさまざまなルールが課せられました。第三者提供においては、特にユーザー本人の同意を得ることが重要になります。

企業内の個人情報保護の枠組みをできるだけ早く整え、間違いのない第三者提供のための対策をとることが、多くの企業にとって欠かせない課題です。ご紹介した内容やPriv Techのコンサルティングサービスを活用し、速やかな対策を実現しましょう。

>>Priv Techの「プライバシーコンサルティング」はこちら

公開日:2020年8月28日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!