田町駅から徒歩7分、
港区三田の弁護士事務所

個人情報取扱事業者である企業は、あらかじめ本人の同意を得ていない場合には、個人情報を第三者に提供することはできないのが原則です（個人情報保護法27条1項柱書）。
この原則に対する重要な例外の1類型として、「個人情報の委託に伴う提供」というものがありますので、ご紹介します。
個人情報保護法では、次のように定義されています。

利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合

（個人情報保護法27条5項1号）

委託先は、提供元とは別の事業者ではあるものの、提供元のいわば手足として受託業務を行う立場ですから、委託業務に関しては、提供元と一体だと見ることができるという考え方によるものです。
次のような場合が「個人情報の委託に伴う提供」の具体例です。

• 会員情報の打ち込みを委託するため、事務受託会社に会員IDや氏名、メールアドレスを提供する場合
• ネットで販売する商品の配送を委託するため、配送業者に氏名や住所、電話番号を提供する場合
• 顧客へのダイレクトメールの発送を委託するため、発送業者に氏名や住所を提供する場合

（ガイドライン（通則編）3-6-3、Q&A 7-34）

いいえ、そういうわけにはいきません。
委託に伴う提供を行う場合、個人情報を安全に管理するため、委託先を適切に監督する必要があります。
監督を怠った結果として個人情報が漏えいしたということになれば、委託先の監督が不十分だと評価される可能性があるので注意してくださいね。
監督が不十分だと評価される事例としては、次のものがあります。

• 委託先の個人情報の安全管理措置の状況を契約締結時もそれ以後も全く把握しないまま委託した結果、委託先が個人情報を漏えいした場合
• 個人情報の取扱いに必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人情報を漏えいした場合

（ガイドライン（通則編）3-4-4）

具体的に何を行うかは、個人情報が漏えいしたときのリスクに応じて定められることとされています。
具体的には、「委託する事業の規模と性質」、「個人情報の取扱状況（取り扱う個人情報の性質と量を含む）」が考慮要素とされています。（ガイドライン（通則編）3-4-4）

リスクをできるだけ減らすという観点では、委託する業務に必要のない個人情報を提供しないようにすることがポイントですね。

一般的な外注先管理とは別に、個人情報に関するリスクを踏まえた手続になっているかどうかがポイントです。 個人情報の取扱いを伴う委託先の監督は、次の3段階に着目して行います。

1. 適切な委託先の選定
2. 委託契約の締結
3. 委託先における個人情報取扱状況の把握

そのとおりです。
委託する企業は、委託先を選ぶ際に、委託先が安全管理措置を確実に実施することをあらかじめ確認する必要があります。
具体的には、個人情報保護法により求められる安全管理措置が項目別に記載されたチェックシート形式の書式を使用し、委託先の候補にこれらの措置が漏れなく講じられていることを誓約させるとともに、その具体的な内容について説明を受ける方法が採用されることが多いです。

はい。
委託先との間で委託契約を締結するときには、委託元が委託先の個人情報取扱状況をできるだけ把握できるようにするため、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましいとされています。
なお、どのような条項を定める必要があるかについては、ガイドライン（通則編）には具体的な言及がありません。
例えば、金融分野ガイドラインでは次のような項目が列挙されていますので、これらを踏まえた契約条項を準備しておくことが考えられます。

• 委託者の監督、監査、報告徴収に関する権限
• 委託先での個人情報の漏えいなどの防止や目的以外での利用禁止
• 再委託に関する条件
• 漏えいなどが発生した場合の委託先の責任

（金融分野ガイドライン10条3項2号、実務指針6-3）

業務委託契約の一条項としてこれらを定めておくこともありますし、業務委託契約とは別に「個人情報の取扱いに関する覚書」のような別の書式を定めておくことも考えられます。
個人情報の提供を伴う委託の場面で必要な条項が漏れなく定められるようにするにはどうすれば良いか、という観点で、適切な社内ルールを制定するようにしてください。

そのとおりです。
定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいとされています。（ガイドライン（通則編）3-4-4）
1年に1回、エクセルファイルなどでチェックシートのやりとりをして委託業務の実施状況を調査したり、個人情報の取扱状況について委託先と面談を行ったりすることをルール化しておきましょう。

いいえ、委託先は、委託された業務以外のために個人情報を取り扱うことはできません。
例えば、X社が委託先となり、委託元であるA社とB社の2社から個人情報の提供を受けている事例で考えてみましょう。
A社から受領した個人情報をA社からの受託業務のためにX社が利用することは、委託に伴う提供の範囲内での利用ですから、特に問題ありません。

これに対して、A社から受領した個人情報を、他の委託先であるB社からの受託業務のために利用したり、X社が独自で運営している事業のために利用することは、委託に伴う提供の範囲を超える提供であり、許されません。
Q&Aでは、禁止される行為として、次のものが例示されています。

• 提供された個人情報を委託の内容と関係のない自社の営業活動のために利用する行為
• 提供された個人情報を委託業務の範囲外で統計情報に加工して利用する行為

（Q&A 7-37、7-38）

万一、委託先が自社のために個人情報を扱う事態が生じれば、委託に伴う個人情報の提供ではなく、個人情報の第三者提供であるという評価を受けるおそれがあります。
そのような事態が生じないようにするために、前述の「委託先の監督」を適切に行いましょう。

「混ぜるな危険」の法理とは、複数の委託元から提供を受けた個人情報や委託先の保有する個人情報を、委託先が分別管理せずに混ぜて取り扱うことは、委託業務の範囲外となり、許されないという法理です。

学術用語らしくない言い回しなのですが、いつの間にか個人情報の研究者・実務家に定着したのですよね。
もう少し丁寧に定義するとすれば、委託先から受領した個人情報と、それ以外の個人情報とを対象として、「個人単位で情報を統合・突合する（組み合わせる）こと」である、と考えておくとよいでしょう。

例えば、A社のお店で永井さんが○○社の菓子パン1個を100円で購入した際に、X社が提供するポイントサービスのアプリを提示したとします。

そのとおりです。
永井さんのポイントサービスの会員番号が123番だとしましょう。
A社は、永井さんに菓子パンの新商品のダイレクトメールを配信したいのですが、永井さんの住所を知らないので、会員情報として住所を保有しているX社に会員番号123番を伝えて、ダイレクトメールの配信を委託することは、個人情報保護法上、どのような位置づけになるでしょうか。

一見するとそう見えるのですが、X社がダイレクトメールを配信する際に、A社が知っている会員番号と、X社が知っている永井さんの住所とを統合・突合（組み合わせ）して、永井さんに関する情報の内容を付加・充実させているところに注目してください。
このような情報の付加は、委託元が従前から保有していた個人情報とは質的に異なる新しい個人情報を委託先に提供しているものと見るべきですから、委託の範囲を超えている、という評価になるのです。
これが「混ぜるな危険」法理と呼ばれる提供類型です。

Q&Aでは、次のような場合が「混ぜるな危険」の法理の適用対象として例示されています。

1. 委託に伴って委託元から提供された個人情報を委託先が独自に取得した個人情報と本人ごとに突合する場合
   〈具体例〉
   既存顧客のリストを委託に伴ってポイントサービス運営事業者に提供し、そのリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付する場合
2. 委託元と委託先の個人情報を突合した結果をもとに、新たな項目を付加したり、内容を修正したりする場合
   〈具体例〉
   委託に伴う提供により受領した顧客の住所について、委託先が独自に取得した住所のデータと突合して誤りのある住所を修正し、顧客情報を委託元に還元する場合

（Q&A 7-41、7-42）

そのとおりです。
全てのターゲティング広告が「混ぜるな危険」の法理の適用対象である、つまり本人からの同意取得を行う必要がある、というわけではありませんが、このような個人単位での情報の統合・突合（組み合わせ）を行い、ターゲットを絞り込む広告手法には注意が必要です。
Q&Aでは、次のような事例が挙げられています。

• SNS運営企業が広告主からメールアドレスをハッシュ化したデータの提供を受けたうえで、SNSのユーザー情報として登録されているメールアドレスとの突合を行い、メールアドレスが一致したユーザーに対して広告表示を行うサービス
• 広告主が保有するcookieなどの識別子情報の提供を受けたデータ・マネジメント・プラットフォームを運営する企業において、同じ識別子と紐づけて取得したウェブサイトの閲覧履歴などの情報を付加して広告主に還元するサービス

（Q&A 7-41、7-42）