個人情報保護士は、個人情報の保護に精通し、適正な取扱や安全管理を身に付けたエキスパートである証明です。

PIIP The Protection of Individual Infomation Person個人情報保護士認定試験

PIIP個人情報保護士認定試験

TOP

試験内容

参考問題

参考書籍

対策講習会

SMART合格講座

合格発表

合格者特典

合格体験記

認定カード更新

マイページ


個人情報の第三者提供とは?定義・ルールを解説

2025.1.10

個人情報の第三者提供とは?定義・ルールを解説

デジタル社会の進展により、企業間でのデータ共有が日常的におこなわれています。しかし、顧客の大切な情報を他社と共有する際のルールを理解していないと、思わぬトラブルを引き起こすかもしれません。そこで今回は、情報管理の基本から実務での注意点まで、企業が知っておくべき重要な知識をわかりやすく解説します。



個人情報の「第三者提供」とは?

事業者が保有する顧客情報を、別の企業や組織に渡す行為は厳格な規制の対象です。プライバシーの保護や情報セキュリティの観点から、データの取り扱いには細心の注意が求められるためです。企業間での情報の受け渡しは、サービスの向上やビジネスの発展に不可欠な要素です。たとえば、通信販売会社が保有する購入履歴を関連会社と共有すれば、顧客に合わせた商品提案が可能になるでしょう。一方で、本人の意図しない目的でデータが利用されるリスクも存在するため、適切な管理体制の構築が重要です。
なお、情報を引き渡す際は、本人からの承諾を得る必要があります。ただし、警察からの要請や業務委託先への提供など、承諾が不要なケースも定められています。企業は法律に基づく手続きを踏んで情報提供し、個人の権利を守りながらビジネス展開しなければなりません。
デジタル社会の発展に伴い、企業間でのデータのやり取りは増加の一途をたどっています。そのため、情報の適切な管理と保護は、企業の重要な責務といえます。



第三者提供は、原則本人の同意取得が必要

データを外部に渡す際は、事前に本人から承諾を得る必要があります。プライバシーの保護と情報の適切な管理を徹底し、本人の権利を守るためです。企業は、顧客から取得した情報の利用目的や提供先を明確に説明し、同意を得なければなりません。
例えば、通信販売会社が商品の配送のために、顧客の氏名や住所を運送会社に渡す場合は、利用規約などで事前に説明し、承諾を得ておく必要があります。また、グループ企業間でのデータの受け渡しも、本人の承諾なしには実施できません。
企業は、顧客から同意を得る際に、分かりやすい説明と透明性の高い手続きを心がける必要があります。同意取得は、顧客との信頼関係を築き、円滑なビジネス運営を実現するための重要な要素です。



第三者提供で本人の同意が不要なケース

個人情報保護法では、一定の条件下であれば、本人の同意を得ずに第三者提供が認められる例外規定が設けられています。ここでは、例外規定が認められる4つのケースを紹介します。



法令に基づく要請の場合

警察や裁判所からの要請があった場合、データを提供する企業は本人に承諾を得る必要はありません。法令に基づく正当な理由があり、社会秩序の維持や犯罪捜査に必要不可欠だからです。たとえば、詐欺事件の捜査で被害者への送金記録の提出を求められた金融機関は、本人に確認することなくデータを警察に提供します。
また、裁判所から文書提出命令を受けた企業は、顧客との契約内容や取引履歴を開示する義務を負います。ただし、要請を受けた企業は、提供するデータの範囲や目的が適切かどうかを慎重に確認しなければなりません。
法令に基づく要請であっても、必要以上の情報を開示すれば、顧客との信頼関係を損なう恐れがあるためです。そのため、企業は法務部門と連携し、適切な判断のもとでデータを提供する体制を整える必要があります。



生命・身体・財産の保護に必要な場合

人命救助や重大な財産被害の防止が必要な場合、本人の許可がなくても個人データの第三者提供が認められます。緊急性が高く、本人から同意を得る時間的余裕がない状況において、より大きな利益を守るために設けられた例外規定です。持病を持つ従業員が職場で突然倒れた場合、救急隊員へ既往歴や服用中の薬の情報を提供するケースが該当します。
また、銀行が不正取引を検知し、被害を防ぐため、ほかの金融機関と顧客データを共有する場合も例外規定の対象です。したがって、生命・身体・財産の保護を目的とした第三者提供は、提供する情報の範囲を必要最小限に留め、緊急性や提供の必要性を慎重に判断しなければなりません。企業は、この例外規定の趣旨を正しく理解し、適切な運用を心がける必要があります。



公衆衛生・児童の健全育成に必要な場合

公衆衛生の向上や児童の健全育成に必要な場合も、本人の同意なく個人情報を第三者に提供できます。感染症予防や児童虐待の防止など、社会全体の利益に関わる重要な課題に対応するために設けられた規定です。
一例として、保健所が感染症対策のために医療機関から患者の行動履歴を入手する場合や、児童相談所が虐待の疑いがある児童の情報を学校から収集するケースなどです。しかし、提供する個人情報は目的達成に必要な範囲内に限定し、関係機関との連携を図りながら適切に管理する必要があります。
企業や組織は、公衆衛生の向上や児童の健全育成という社会的責任を果たしつつ、個人情報の適正な取り扱いに努めなければなりません。



委託・共同利用の場合

業務委託先や企業グループ内での情報共有は、事前の承諾なしに認められます。日常的な業務運営に必要不可欠であり、適切な管理体制が整備されているためです。通信販売会社が配送業者に顧客の住所を渡す場合や、銀行が口座情報処理を外部委託する際は、顧客からの承諾を得る必要はありません。
なお、委託先の選定には慎重な審査が求められ、データの取り扱い方法や安全管理措置について、詳細な取り決めが必須です。委託元の企業は、委託先の監督責任を負い、定期的な確認や指導をとおして、適切な管理を徹底します。また、共同利用の場合は、利用する企業の範囲や目的を公表し、透明性の高い運用を心がけましょう。
そして、企業グループ内での情報活用では、各社の役割や責任を明確にし、統一された管理基準のもとでデータを扱います。顧客サービスの向上や業務の効率化を図りながら、責任ある情報管理を実践し、信頼関係の構築に努めます。



第三者提供の取り扱いルール

個人情報を第三者に提供するときは、提供側と受け取る側の双方に、それぞれ異なる義務と責任が課されます。ここでは、第三者に情報を与える際に理解すべき「ルール」を紹介します。



個人情報を提供する側

顧客データを他社に提供する企業には、厳格な管理体制と透明性の高い手続きが求められます。データを扱う企業は、顧客の権利を守り、信頼関係を維持するために、適切な情報管理を実践する責任があるためです。仮に、通信会社が新サービスの案内のために顧客リストを活用する場合、利用目的の明示や提供停止の機会確保など、細かな配慮が必要です。
提供する企業は、データの利用目的や提供先を明確に説明し、顧客が自身の情報をコントロールできる環境を整えます。顧客への通知方法は、メールやWEBサイト、書面など、確実に情報が伝わる手段を選択しなければなりません。また、提供を望まない顧客への対応手順も整備し、迅速な停止措置を講じられる体制を構築します。
とくに近年は、データ提供に関する事前通知制度(オプトアウト)の重要性が高まっているのをご存じでしょうか。本制度では、顧客に事前の拒否機会を設け、異議がない場合にのみデータ提供をおこなうものです。ただし、病歴や信条といった優先的配慮が必要な情報は、対象外とされ、必ず本人の明示的な同意が必須です。企業は、こうした規定を順守しながら、顧客の期待に応える情報活用を進めます。



個人情報を受け取る側

データを受け取る事業者には、提供元が定めた利用目的の範囲内で活用する義務があります。受け取ったデータの不適切な利用を防ぎ、本人のプライバシーを守るために必要不可欠な要件です。例として、顧客満足度調査のために譲り受けたデータを営業活動に流用すると、法令違反に該当します。
また、アンケート回答者の属性分析を目的として受け取ったデータを、新規サービス開発に活用するのも不適切な利用に当たるので注意が必要です。さらに、グループ会社から共有された会員情報を提携先への営業活動に使用するのも違反行為です。受け取り側の企業は、データの取得経緯を確認し、適切な管理体制を整備する責任も負います。
万が一、データの漏洩や不正利用が発生した場合は、速やかに提供元へ報告し、適切な対応策を講じなければなりません。提供元との連携を密にし、問題発生時の対応手順を事前に定めておくことで、リスクを最小限に抑えられます。



外国にある第三者提供の取り扱いルール

グローバル化が進む現代のビジネスでは、海外企業とのデータ共有が不可欠です。しかし、国境を越えたデータの移転には特別な規制があり、企業は慎重な対応を求められます。ここでは、外国との情報共有についての「ルール」を紹介します。



本人の同意が不要なケース

外国にある第三者への個人データの提供ですが、日本と同水準で個人情報を保護している国や地域であれば、本人の同意なく実施できます。ただし、情報を受け取る側の国が十分な保護措置を講じていると個人情報保護委員会が認定した場合に限られます。また、提供先の外国事業者が日本の個人情報保護法に準じた措置を講じている場合も本人同意は不要です。
具体的には、グループ企業間での個人データの取り扱いに関する基準を定めた社内規程を整備し、それに基づいて適切な管理を行っている場合があげられます。個人の権利利益を保護する体制が整備されていることが、同意不要の重要な前提条件といえます。



第三者提供に関する注意点

個人情報を第三者に引き渡すときは、さまざまな点に注意が必要です。以下で説明する3つの注意点を理解していないと、企業にとって大きなトラブルに発展するかもしれません。それでは、3つの注意点を見てみましょう。



3年間の保存義務がある

企業が保有するデータの提供記録は、3年間の保管が法律で義務づけられています。データの管理責任を明確にし、提供先や提供時期の追跡を可能にするためです。具体的には、顧客リストを取引先に渡した際には、提供日時、提供先の企業名、対象となったデータの項目などを記録し、保管します。
なお、記録の保管方法は電子データや書面など、各企業の実情に合わせた形式を選択できますが、必要に応じて速やかに確認できる状態にしなければなりません。そして、保管期間を経過したデータは、適切な方法で破棄や消去しますが、それまでの間は改ざんや紛失を防ぐ厳格な管理体制が不可欠です。記録の保管は、企業のコンプライアンス体制を示す重要な要素であり、監督機関による立入検査の際にも確認対象となる重要事項です。



本人の申し出による停止義務がある

顧客からデータ共有の停止要請があった場合、企業は速やかに情報提供を中止する義務を負います。これは、自身の情報をコントロールする権利を保護し、プライバシーを守るための重要な規定です。たとえば、ポイントカード会員の購買履歴を関連企業と共有している場合、会員から停止の申し出があれば、その時点で情報共有を中断しなければなりません。
企業は停止要請に備え、受付窓口の設置や手続きの明確化など、迅速な対応体制を整備する必要があります。顧客の意思を尊重し、要請から実際の停止までの時間を最小限に抑えることで、信頼関係の維持にもつながります。また、停止要請を受けた履歴も適切に記録し、誤って情報提供を再開することがないよう、防止策も考えなければなりません。



オプトアウトで提供できないデータがある

要配慮個人情報や信用情報など、慎重な取り扱いが必要な個人情報は、オプトアウト方式による第三者提供が認められません。これらの情報は、個人の権利利益に重大な影響を与える可能性が高いため、法律で厳格な保護が定められています。
例として、病歴や障害の有無などの医療関連情報、犯罪歴に関する情報、与信判断に用いられる金銭的な信用情報は、本人の明示的な同意がない限り、第三者への提供が禁止されています。また、個人情報を不正取得した場合や、オプトアウトに関する届出事項を偽って届け出た場合も、オプトアウト方式による提供は認められません。



まとめ

本記事では、個人情報の第三者提供について、定義から具体的なルール、注意点まで解説しました。第三者提供には基本的に本人からの許可が必須であり、外国への提供や要配慮個人情報の取り扱いには特別な規制が設けられています。企業は記録管理や保存期間の遵守、本人からの停止請求への対応など、適切な管理体制の整備が重要視されています。