府省令令和8年1月22日
個人情報の保護に関する法律施行規則(個人関連情報の第三者提供の制限等)
掲載日
令和8年1月22日
号種
号外
原文ページ
p.41 - p.43
出典:官報発行サイトの掲載情報を加工しています。AI 抽出や OCR に誤りが含まれる可能性があるため、 重要な確認は公式原文を基準にしてください。
AI要点
保有個人データの開示請求等に関するガイドライン解説
抽出された基本情報
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
個人情報の保護に関する法律施行規則(個人関連情報の第三者提供の制限等)
令和8年1月22日|p.41-43
本文はAI抽出です。左の段落を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(個人関連情報の第三者提供の制限等)
第20条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第16条第1項各号に掲げる場合を除くほか、次に掲げる事項について、同号各に定める方法により確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
(1) 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
当該第三者から申告を受ける方法その他の適切な方法
(2) 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、あらかじめ、イからハに掲げる事項が当該本人に提供されていること。
イ 当該外国の名称
ロ 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
ハ 当該第三者が講ずる個人情報の保護のための措置に関する情報
本号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法
(3) 前二号に定める方法にかかわらず、第三者に個人関連情報の提供を行うに際して既に前二号に定める方法による確認(当該確認について第5項に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る前二号に掲げる事項の内容が同一であることの確認を行う方法とする。
2 前項第(2)号の規定により情報を提供する場合は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
3 第1項第(2)号の規定は、次の各号のいずれかの場合には適用されない。
(1) 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則で定める国にある場合
(2) 当該第三者が、次のいずれかの基準に適合する体制を整備している場合
イ 協会員との間で、当該第三者における当該個人データの取扱いについて、適切かつ合理的な方法により、保護法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること
ロ 個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
4 個人関連情報取扱事業者は、個人関連情報を外国にある第三者(第3項第(2)号に規定する体制を整備している者に限る。)に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために次に掲げる必要な措置を講じなければならない。
(1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
(2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人関連情報の当該第三者への提供を停止すること。
5 個人関連情報取扱事業者は、第1項の規定による確認を行ったときは、次の各号に定めるところにより、次項で定める事項に関する記録を作成しなければならない。なお、「第三者」のうち、国の機関、地方公共団体、独立行政法人等、又は地方独立行政法人に個人関連情報の提供を行う場合は、記録義務は適用されない。
(1) 記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
(2) 記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
(3) 前号の規定にかかわらず、第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次項で定める事項が記載されているときは、当該書面をもってこの項の当該事項に関する記録に代えることができる。
6 前項の「次項で定める事項」は、次に掲げる事項とする。
(1) 第1項第(1)号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第(2)号の規定による情報の提供が行われていることを確認した旨
(2) 個人関連情報を提供した年月日(前項第(2)号ただし書の規定により、前項の記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)
(3) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(4) 当該個人関連情報の項目
7 前項各号に定める事項のうち、既に第5項各号に規定する方法により作成した第5項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
8 個人関連情報取扱事業者は、第5項の記録を、当該記録を作成した日から、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間、保存しなければならない。
(1) 第5項第(3)号に規定する方法により記録を作成した場合
最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
(2) 第5項第(2)号ただし書に規定する方法により記録を作成した場合
最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
(3) 前二号以外の場合
3年
9 協会員は、第1項の規定による個人関連情報の提供を受けて個人データとして取得する場合(保護法第27条第1項各号に掲げる場合を除く。)は、第19条第1項及び第2項の確認・記録義務の適用を受ける。
(解説)
(1) 提供先の第三者による同意の取得について
協会員は、第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第(1)号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、
① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的
を本人に認識させた上で同意を得るように努める。
(2) 提供先の第三者による適正取得
個人情報取扱事業者である提供先の第三者は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない。
【提供先の個人情報取扱事業者が偽りその他不正の手段により個人関連情報を個人データとして取得している事例】
事例1) 提供先の個人情報取扱事業者が、提供元の個人関連情報取扱事業者に個人データとして利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合
事例2) 提供先の個人情報取扱事業者が、本人同意を取得していないにもかかわらず、同意取得していると提供元の個人関連情報取扱事業者に虚偽の申告をして、個人関連情報を個人データとして取得した場合
(3) 記録事項の省略
複数回にわたって同一「本人」の個人関連情報の提供を受けて個人データとして取得する
場合において、同一の内容である事項を重複して記録する必要はないことから、その旨を明
確にするものである。すなわち、第6項に規定する方法により作成した記録(現に保存して
いる場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を
省略することができる。
令和2年改正保護法の施行日の前に上記に規定する方法に相当する方法で作成した記録に
ついても同様とする。
なお、記録事項のうち、一部の事項の記録の作成を施行規則第24条第2項に基づき省略し、
残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点は、残りの事項
を作成した時点とする。
(参照条文:通則ガイドライン3-7、金融分野ガイドライン14条)
(保有個人データに関する事項の公表等)
第21条 協会員は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の
求めに応じて遅滞なく回答する場合を含む。以下同じ。)に置かなければならない。なお、利用目的
に第三者提供が含まれる場合には、第②号の内容として、その旨を記載しなければならない。
(1) 協会員の名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理
人の定めのあるものにあっては、その代表者又は管理人)の氏名
(2) すべての保有個人データの利用目的(ただし、第10条第4項第(1)号から第(3)号に該当する場合
を除く。)
(3) 次項、次条第1項若しくは第3項、第23条第1項又は第24条第1項の規定による求めに応じる
手続(第27条の規定により手数料の額を定めたときは、その手数料の額を含む。)
(4) 保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことによ
り当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
(5) 保有個人データの取扱いに関する自社における苦情の申出先
(6) 認定個人情報保護団体の名称及びその苦情の解決の申出先
2 協会員は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたとき
は、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する
場合は、この限りではない。
(1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 第10条第4項第(1)号から第(3)号に該当する場合
3 協会員は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をし
たときは、遅滞なく、その旨を本人に通知しなければならない。
(解説)
「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」の具体例(第
1項)
「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホー
ムページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、
本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な
内容を本人の知り得る状態に置かなければならない。必ずしもホームページへの掲載、又は
事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではない
が、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な
方法によらなければならない。
なお、普段から問合せせ対応が多い協会員において、ホームページへ継続的に掲載する方法
は、「本人が容易に知り得る状態」及び「本人の知り得る状態(本人の求めに応じて遅滞なく
回答する場合を含む。)」の両者の趣旨に合致する方法である。
【本人の知り得る状態に該当する事例】
事例1) 問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築
しておく場合
事例2) 店舗にパンフレットを備え置く場合
事例3) 電子商取引において、商品を紹介するホームページに問合せ先のメールアドレス
を表示する場合
協会員は、保護法第32条に従い、保有個人データに関する事項を本人の知り得る状態に置
く際には、販売方法等の事業の態様に応じて、例えば、次のような方法により、適切な措置
を講ずる必要がある。
① 店頭での継続的なポスターの掲示、書面の備付け
② パンフレット・リーフレットの継続的な配布
③ ホームページへの継続的な掲載(第29条に定める「個人情報保護宣言」と一体として掲
載する方法(保有個人データに関する事項が示された画面に1回程度の操作で遷移するよ
う設定したリンクを「個人情報保護宣言」に継続的に掲載することを含む。)もある。)
④ 本人の求めに応じた書面の交付、郵送、FAX等による送付
⑤ 本人の求めに応じた口頭、電話、電子メールでの回答
(参照条文:保護法32条、施行令10条、通則ガイドライン3-8-1、金融分野ガイドライン
15条)
(開示)
第22条 協会員は、本人から、当該本人が識別される保有個人データについて開示(存在しないとき
にはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による
方法、書面の交付による方法その他当該協会員の定める方法のうち本人が請求した方法(当該方法
による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、
書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただ
し、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことがで
きる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 協会員の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
2 協会員は、前項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の
決定をしたとき又は請求に係る保有個人データが存在しないときは、遅滞なく、その旨を本人に通
知しなければならない。また、本人が請求した方法による開示が困難であるときは、その旨を本人
に通知した上で、書面の交付による方法により開示を行わなければならない。
3 協会員は、本人から、当該本人が識別される個人データに係る第三者提供記録の開示(存在しな
いときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供
による方法、書面の交付による方法その他当該協会員の定める方法のうち本人が請求した方法(当
該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっ
ては、書面の交付による方法)により、遅滞なく、当該第三者提供記録を開示しなければならない。
なお、第三者提供記録には、次の各号に掲げるもの、及び保護法第29条第1項又は同法第30条第3
項の規定が適用されない場合において任意に作成された記録は、含まれない。
(1) 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及
ぶおそれがあるもの
(2) 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそ
れがあるもの
(3) 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
(4) 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
4 第三者提供記録を開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。これにより開示しない旨の決定をしたとき又は請求に係る第三者提供記録が存在しないときは、遅滞なく、その旨を本人に通知しなければならない。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 協会員業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
(解説)
(1) 開示の請求を行った者から開示の方法について特に指定がなく、協会員が提示した方法に対して異議を述べなかった場合は、協会員が提示した方法で開示することができる。
(2) 本人が請求する方法による開示が困難な場合に、直ちに書面の交付による開示を行うのではなく、協会員が対応できる方法への変更を求めることが望ましい。また、開示の請求に際して提出すべき書面の様式において、協会員が対応できる方法や媒体等をあらかじめ明示しておくといった対応も考えられる。
(3) 電磁的記録の提供による方法について(第1項)
協会員がファイル形式や記録媒体などの具体的な方法を定めることができるが、開示請求等で得た保有個人データの利用等における本人の利便性向上の観点から、可読性・検索性のある形式による提供や、技術的に可能な場合には、他の事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましい。
【電磁的記録の提供による方法の事例】
事例1)電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法
事例2)電磁的記録を電子メールに添付して送信する方法
事例3)会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法
【その他当該協会員の定める方法の事例】
事例1)協会員が指定した場所における音声データの視聴
事例2)協会員が指定した場所における文書の閲覧
【当該方法による開示が困難である場合の事例】
事例1)本人が電磁的記録の提供による開示を請求した場合であって、協会員が当該開示請求に応じるために、大規模なシステム改修を行わなければならないような場合
事例2)本人が電磁的記録の提供による開示を請求した場合であって、書面で個人情報や帳簿等の管理を行っている小規模事業者が、電磁的記録の提供に対応することが困難な場合
(4) 「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」に該当する例(第1項第1号)
例えば、医療機関等において、病名等を患者に開示することにより、患者本人の心身状況を悪化させるおそれがある場合
(5) 「協会員の業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当する例(第1項第2号)
例えば、次のような場合が該当する。
① 与信審査内容等、協会員が付加した情報の開示請求を受けた場合
② 保有個人データを開示することにより評価・試験等の適正な実施が妨げられる場合
③ 企業秘密の保護の必要性が、本人が協会員における保有個人データの取扱い等を把握する必要性を上回る特別の事情がある場合
④ 同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
⑤ 電磁的記録の提供にふさわしい音声・動画ファイル等のデータを、あえて書面で請求することにより、業務上著しい支障を及ぼすおそれがある場合
(6) 「協会員の業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当しない例(第1項第2号)
「著しい支障を及ぼすおそれ」に該当する場合とは、協会員の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定される。
例えば、単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しない。
(7) 「他の法令に違反することとなる場合」に該当する例(第1項第3号)
例えば、犯罪収益移転防止法第8条第1項に基づいて、主務大臣に取引の届出を行っていたときに、当該届出を行ったことが記録されている保有個人データを開示することが、同条第3項の規定に違反する場合、刑法第134条(秘密漏示罪)や電気通信事業法第4条(通信の秘密の保護)に違反することとなる場合
(8) 第三者提供記録の開示方法(第3項)
第3項の請求を受けて協会員が第三者提供記録を本人に開示するに当たっては、保護法において記録事項とされている事項を本人が求める方法により開示すれば足り、それ以外の事項を開示する必要はない。例えば、契約書の代替手段による方法で記録を作成した場合には、当該契約書中、記録事項となっている事項を抽出した上で、本人が求める方法により開示すれば足り、契約書そのものを開示する必要はない。
(9) 第三者提供記録の不開示事由としての「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」に該当する例(第4項第1号)
例えば次のような場合が該当する。
事例1)第三者提供記録に個人データの項目として本人が難病であることを示す内容が記載されている場合において、当該第三者提供記録を開示することにより、患者本人の心身状況を悪化させるおそれがある場合
事例2)企業の与信判断等に用いられる企業情報の一部として代表者の氏名等が提供され、第三者提供記録が作成された場合において、当該第三者提供記録を開示することにより、提供を受けた第三者が与信判断、出資の検討、提携先・取引先の選定等を行っていることを含む秘密情報が漏えいするおそれがある場合
(10) 第三者提供記録の不開示事由としての「協会員の業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当する例(第4項第2号)
例えば次のような場合が該当する。
事例)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
他の事業者と取引関係にあることが契約上秘密情報とされている場合であっても、記録事項そのものを開示することについては、直ちにこれに該当するものではなく、個別具体的に判断する必要がある。
(11) 第三者提供記録の不開示事由としての「他の法令に違反することとなる場合」に該当する例(第4項第3号)
例えば次のような場合が該当する。
事例)刑法(明治40年法律第45号)第134条(秘密漏示罪)に違反することとなる場合
(参照条文:保護法33条、施行令11条、施行規則30条、通則ガイドライン3-8-2、3-8-3、金融分野ガイドライン16条)
p.41 / 3
読み込み中...
テキスト領域
選択中
非公開 (PII)