その他令和8年1月22日
個人情報保護法に基づく個人データの第三者提供等に関するガイドライン解説(抜粋)
掲載日
令和8年1月22日
号種
号外
原文ページ
p.36 - p.37
出典:官報発行サイトの掲載情報を加工しています。AI 抽出や OCR に誤りが含まれる可能性があるため、 重要な確認は公式原文を基準にしてください。
AI要点
共同利用の特例、外国第三者提供の制限及びEU/英国からのデータ移転の特則
抽出された基本情報
発行機関個人情報保護委員会
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
個人情報保護法に基づく個人データの第三者提供等に関するガイドライン解説(抜粋)
令和8年1月22日|p.36-37
本文はAI抽出です。左の段落を選ぶと、右側の官報原文画像で該当箇所を照合できます。
⑬ 「当該届出に係る個人データの第三者への提供を開始する予定日」について(第4項第(9)号)
新規の届出の場合には、オプトアウトによる第三者提供を開始する予定日を記入する。変更届の場合には、変更届に基づいて第三者提供を開始する予定日を記入する。
⑭ オプトアウトに関する事項の変更及び個人データの提供をやめた場合(第5項)
① 届出事項(第三者に提供される個人データの項目等)の変更があった場合
第三者に提供される個人データの項目、第三者に提供される個人データの取得の方法、第三者への提供の方法、第三者への提供を停止すべきとの本人の求めを受け付ける方法、個人データの更新の方法又は第三者への提供を開始する予定日を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
② 届出事項(氏名又は名称、住所、法人等の代表者の氏名)の変更があった場合
第三者への提供を行う協会員の氏名又は名称、住所、法人等の代表者の氏名に変更があったときは、遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
③ 個人データの提供をやめた場合
第16条第4項に基づく個人データの第三者提供をやめたときは、遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
⑮ 「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って、当該個人データが提供される場合」について(第7項第(1)号)
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である協会員と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。
なお、協会員には、保護法第25条により、委託先に対する監督責任が課される。
例えば、次のような場合が該当する。
事例1) データの打ち込み等、情報処理を委託するために個人データを提供する場合
事例2) 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合
⑯ 協会員が個人データの取扱いの全部又は一部の委託を受ける場合の具体例
例えば、次のような場合が該当する。
協会員が、M&AやTOBに関与する場合において、売り手側企業から、協会員との間の業務委託契約に基づき当該売り手側企業の従業員・株主に係る個人データの提供を受ける場合
⑰ 「合併その他の事由による事業の承継に伴って個人データが提供される場合」について(第7項第(2)号)
合併、分社化、事業譲渡等により事業が承継されることに伴い、当該事業に係る個人データが提供される場合は、当該提供先は第三者に該当しない。なお、事業の承継後も、個人データが当該事業の承継により提供される前の利用目的の範囲内で利用しなければならない。
また、事業の承継のための契約を締結するより前の交渉段階で、相手会社から自社の調査を受け、自社の個人データを相手会社へ提供する場合も、本号に該当し、あらかじめ本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができるが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない。
例えば、次のような場合が該当する。
事例1) 合併、分社化により、新会社に個人データを提供する場合
事例2) 事業譲渡により、譲渡先企業に個人データを提供する場合
⑱ 「共同利用」の留意点(第7項第(3)号)
① 利用する者の利用目的
共同して利用する個人データについて、その利用目的を全て、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。なお、利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載することが望ましい。
② 管理責任者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
管理責任者とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。なお、ここでいう管理責任者とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。また、管理責任者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人データを正確かつ最新の内容に保つよう努めなければならない。
【共同利用に該当する事例】
事例1) グループ企業で総合的なサービスを提供するために取得時の利用目的(保護法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
事例2) 親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
事例3) 使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合
③ 共同利用の対象となる個人データの提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。
④ 協会員が共同利用を実施する場合には、共同利用者における責任等を明確にし円滑に実施する観点から、例えば、次のイからヘまでの事項についても、あらかじめ取り決めておくことが望ましい。
イ 共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み)
ロ 各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
ハ 共同利用する個人データの取扱いに関する事項
・ 個人データの漏えい等防止に関する事項
・ 目的外の加工、利用、複写、複製等の禁止
・ 共同利用終了後のデータの返還、消去、廃棄に関する事項
ニ 共同利用する個人データの取扱いに関する取決めが遵守されなかった場合の措置
ホ 共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
ヘ 共同利用を終了する際の手続
⑤ 共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。
⑥ 協会員は、個人データを共同利用する場合において、「管理責任者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名」に変更があったときは遅滞なく、当該変更後の内容について、「共同利用する者の利用目的」又は「当該責任を有する者」を変更しようとするときは変更する前に、変更しようとする内容について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
なお、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができる。
(外国にある第三者への提供の制限)
第17条 協会員は、個人データを外国にある第三者に提供するに当たっては、次の各号のいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得なければならない。
(1) 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則で定める国にある場合
(2) 当該第三者が、次のいずれかの基準に適合する体制を整備している場合
イ 協会員と当該第三者との間で、当該第三者における当該個人データの取扱いについて、適切かつ合理的な方法により、保護法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること
ロ 当該第三者が個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること
(3) 保護法第27条第1項各号に該当する場合
2 協会員は、前項の規定により本人の同意を得ようとする場合には、あらかじめ、次に掲げる事項を当該本人に提供しなければならない。なお、情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
(1) 当該外国の名称
(2) 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
(3) 当該第三者が講ずる個人情報の保護のための措置に関する情報
3 前項の規定にかかわらず、第1項の規定により本人の同意を得ようとする時点において、前項第(1)号に定める事項が特定できない場合には、同号及び同項第(2)号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
(1) 前項第(1)号に定める事項が特定できない旨及びその具体的な理由(提供先が決まる前に本人同意を得る必要性を含む。)
(2) 前項第(1)号に定める事項に代わる本人に参考となるべき情報がある場合には、当該情報
4 第2項の規定にかかわらず、第1項の規定により本人の同意を得ようとする時点において、第2項第(3)号に定める事項について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。
5 協会員は、個人データを外国にある第三者(第1項第(2)号に規定する体制を整備している者に限る。)に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために次に掲げる必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。なお、情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
(1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
(2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること。
6 協会員は、前項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該協会員の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
(1) 当該第三者による第1項第(2)号に規定する体制の整備の方法
(2) 当該第三者が実施する相当措置の概要
(3) 前項第(1)号の規定による確認の頻度及び方法
(4) 当該外国の名称
(5) 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
(6) 当該第三者による相当措置の実施に関する支障の有無及びその概要
(7) 前号の支障に関して前項第(2)号の規定により当該協会員が講ずる措置の概要
7 協会員は、第5項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
8 協会員は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
(特則一第17条関係)
外国にある第三者提供の制限についての特則
EU又は英国域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、保護法第28条に従い、次の①から③のいずれかに該当する場合を除き、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得ることとする。
① 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則で定める国にある場合
② 協会員と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、EU等補完的ルールを含め保護法と同等水準の個人情報の保護に関する措置を連携して実施している場合
③ 保護法第27条第1項各号に該当する場合
p.36 / 2
読み込み中...
テキスト領域
選択中
非公開 (PII)