個人情報保護法のWEB弁護士相談 - 入門・定義編 -

2. 個人情報の第三者提供とは(定義、例外)

個人情報保護法の第三者提供を行うには、あらかじめ本人の同意を得なければならないのが原則です。
本人から同意を得ることが難しい場合には、例外規定を活用して本人の同意なしで提供できるかどうかを検討することになります。

インデックス
  • 業務内容

    個人情報の第三者提供とは

    当社の取引先から、当社の個人のお客さまの情報を教えてほしいという問い合わせがありました。
    個人情報の提供になりますから、本人の同意を得なければならないのですよね。

    そのとおりです。
    個人情報の第三者提供とは、個人情報取扱事業者が保有する個人情報を社外の第三者に提供することです。
    企業が個人情報を第三者に提供するには、原則としてあらかじめ本人の同意を得なければならないとされています。

    (個人情報保護法27条1項柱書)
    また、個人情報を第三者に提供したときは、以下の項目を記録した第三者提供記録を作成し、保存する必要があります。

    1. 本人の同意を得ている旨
    2. 先の第三者を特定するに足りる事項(第三者の名称など)
    3. 本人を特定するに足りる事項(氏名など)
    4. 提供した個人情報の項目

    (個人情報保護法29条、施行規則20条1項2号)

    第三者提供記録についても忘れないように対応しなければなりませんね。
    「原則」ということは、「例外」もあるのでしょうか。

    はい。例外パターンとして、本人の同意を得る必要がない場合もあります。
    過去のお客さまを含む多数のお客さまの個人情報をデータ解析会社に提供する場合などは、全てのお客さまから改めて同意を取得することが現実的には不可能ですよね。
    このような場合は、例外ルールが使えないかどうかを重点的に検討することになります。
    詳しくは、後ほど「3.例外として本人の同意なく個人情報を提供することができる場合とは」で説明します。

    取引先からではなく本人の家族や親戚からの問い合わせだった場合はどうでしょうか。
    いつもご家族連れで営業所にいらっしゃるお客さまだと、無下に断りづらいというのが現場の感覚のようです。

    家族・親族であっても、本人との関係では「第三者」に当たりますので、個人情報の第三者提供であると考えておくのが適切です。
    
 提供できる場合があるとすれば、本人が家族・親族への情報提供について同意を与えていると解釈できる場合です。
    個人情報保護委員会のQ&Aで示されている例として、本人が家族を連れて金融機関に融資の申込みをしに来た際に入手した情報を、後日その家族に伝える場合が挙げられています。(金融分野Q&A問Ⅵ-2)
    融資の面談に家族を同席させていたという当時の状況から、家族への第三者提供について、本人による黙示の同意があったと解釈できる、という趣旨でしょうね。
    そのほかにも、本人の財産保護のために必要な場合で、本人の同意を得ることが困難な場合などに、例外類型として、第三者提供が可能な類型に当てはまる場合もあります。 詳しくは、後ほど「3.例外として本人の同意なく個人情報を提供することができる場合とは」の項目で説明します。

    第三者提供の同意の取得方法とは

    第三者提供を行うために必要になる本人の同意は、どのような方法で取得すればよいでしょうか。

    個人情報保護委員会のガイドラインでは、次のような事例が挙げられています。

    1. 本人からの同意する旨の口頭による意思表示
    2. 本人からの同意する旨の書面(電磁的記録を含む。)の受領
    3. 本人からの同意する旨のメールの受信
    4. 本人による同意する旨の確認欄へのチェック
    5. 本人による同意する旨のホームページ上のボタンのクリック
    6. 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

    (ガイドライン(通則編)2-16)

    同意を取得する際は、メールの発信、確認欄へのチェックなど、本人が同意をしたことが明確に分かるような行動を求めることがポイントですね。

    本人が黙示の同意を行ったと評価できる場合はあるでしょうか。

    本人側で同意を行ったと評価できる行動があると言えるのであれば、「黙示の同意」があったと評価できる場合はあります。
    ただし、企業側で一方的に期限を定めて、同意があったものとみなすような対応では、「黙示の同意」があったと評価することはできません。
    個人情報保護委員会のQ&Aでも、次のような内容で注意喚起がなされています。

      Q.本人に対して、一定期間内に回答がない場合には同意したものとみなす旨の電子メールを送り、当該期間を経過した場合に、本人の同意を得たこととすることはできますか。

      A.本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。したがって、一定期間回答がなかったことのみをもって、一律に本人の同意を得たものとすることはできません。

    (Q&A1-60)

    また、個人情報保護法やガイドライン(通則編)以外のルールにより、「黙示の同意」では許容されないことがあります。
    例えば、金融分野における同意の取得は、原則として書面または電磁的方法による必要があります。
    (金融分野ガイドライン3条)

    例外として本人の同意なく個人情報を提供することができる場合とは

    本人の同意を得ることができない場合はどうすればよいでしょうか。

    同意取得が不要になる例外パターンであると整理できないかを検討しましょう。
    まず、次のいずれかの場合には、本人の同意なく個人情報を第三者に提供することができます。

    1. 法令に基づく場合
    2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
    3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    4. 国の機関もしくは地方公共団体またはその委託を受けたものが法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

    (個人情報保護法27条1項各号)

    また、個人情報保護委員会に届け出るなど所定の手続を経た場合には、いわゆるオプトアウトの第三者提供を行うことができます。(個人情報保護法27条2項)
    オプトアウトとは、本人の求めがあった場合に提供を停止することを条件として、あらかじめ本人の同意を得ることなく第三者提供を行うことです。

    さらに、次の場合は、「第三者」への提供に該当しないという理由で、提供が許されるとされています。

    1. 委託提供の場合
    2. 合併その他の事由による事業の承継に伴って個人情報が提供される場合
    3. 共同利用の場合

    (個人情報保護法27条5項各号)

    例外にも色々なパターンがあり、それぞれ正当化できる根拠や、採用するための要件が異なるのですね。
    どのような優先順位で検討していけばよいでしょうか。

    よく使われるのは、次の3つです。

    1. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
    2. 委託提供の場合
    3. 合併その他の事由による事業の承継に伴って個人情報が提供される場合

    個人情報を取り扱う企業であればこれらのいずれかを採用した先例があることが多いと思います。
    先例との類似点や相違点を比較しながら検討を進めると、効率良く論点整理を進められそうですね。
    判断に迷うケースであれば、弁護士への相談も検討してみてください。

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    詳しいプロフィールはこちら お問い合わせ
    この記事をシェアする

    関連リンク

    「個人情報保護法のWEB弁護士相談 - 入門・定義編 -」(記事一覧)
    関連業務のご紹介
    個⼈情報・マイナンバー

    個⼈情報・マイナンバー

    個人情報保護法/番号法/漏えい対応/データ利活用/セキュリティ/データマッピング

    詳しくはこちら

    ご依頼までの流れ

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。