その他令和8年1月22日
個人データの第三者提供に係る記録の作成等に関する規定及び解説
掲載日
令和8年1月22日
号種
号外
原文ページ
p.38 - p.40
出典:官報発行サイトの掲載情報を加工しています。AI 抽出や OCR に誤りが含まれる可能性があるため、 重要な確認は公式原文を基準にしてください。
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
個人データの第三者提供に係る記録の作成等に関する規定及び解説
令和8年1月22日|p.38-40
本文はAI抽出です。左の段落を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(第三者提供に係る記録の作成等)
第18条 協会員は、個人データを第三者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。以下この条及び次条において同じ。)に提供したときは、以下に定める事項に関する記録を都度、速やかに作成しなければならない。ただし、当該個人データの提供が第16条第1項各号又は同条第7項各号のいずれか(前条の規定による個人データの提供にあっては、第16条第1項各号のいずれか)に該当する場合は、この限りでない。
(1) 本人の同意に基づく個人データの第三者提供の場合
イ 保護法第27条第1項又は保護法第28条の本人の同意を得ている旨
ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
(2) オプトアウトによる個人データの第三者提供の場合
イ 当該個人データを提供した年月日
ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
2 前項にかかわらず、協会員が一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。
3 第1項にかかわらず、協会員が、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、契約の締結の相手方を本人とする個人データを当該協会員から第三者に提供する場合は、当該提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であることから、当該契約書その他の書面をもって記録とすることができる。
4 協会員は、第1項各号に定める事項のうち、既に前各項に規定する方法により作成した記録(当該記録を保存している場合に おけるものに限る。)に記録されている事項と内容が同一であるものについては、第1項の当該事項の記録を省略することができる。
(解説)
(1) 本人による提供
事業者が運営するSNS等に本人が入力した内容が、自動的に個人データとして不特定多数の第三者が取得できる状態に置かれている場合は、実質的に「本人による提供」をしているものである。
したがって、協会員がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者及び取得した協会員の双方において、確認・記録義務は適用されない。
(2) 本人に代わって提供
協会員が本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該協会員は「本人に代わって」個人データの提供をしているものである。したがって、この場合の第三者提供については、提供者・受領者のいずれに対しても確認・記録義務は適用されない。
協会員が本人からの委託等に基づいて個人データを提供しているものと評価得るか否かは、主に、委託等の内容、提供の客体である個人データの内容、提供するとき及び提供先の協会員その他の個人情報取扱事業者等の要素を総合的に考慮して、本人が当該提供を具体的に特定できているか否かの観点から判断することになる。
【本人に代わって個人データを提供している事例】
事例1) 本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合
事例2) 事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
事例3) 事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合
事例4) 本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
事例5) 保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に当該本人に係る情報を提供する場合
事例6) 取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合
事例7) 事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
事例8) 本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
(3) 「受領者」の考え方
本人の代理人又は家族等、本人と一体と評価できる関係にある者に提供する場合、本人側に対する提供とみなし、受領者に対する提供には該当せず、確認・記録義務は適用されない。
なお、常に家族であることをもって本人側と評価されるものではなく、個人データの性質、両者の関係等に鑑みて実質的に判断する必要がある。
また、提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行い、本人がそれを明確に認識できる場合は、同じく、本人側に対する提供とみなし、確認・記録義務は適用されない。
【本人と一体と評価できる関係にある者に提供する事例】
事例) 金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合
【提供者が、最終的に本人に提供することを意図した上で、受領者を介在して提供を行う事例】
事例) 振込依頼人の法人が、受取人の口座に振り込むため、個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行に提供する場合
(4) 「提供」行為の考え方
不特定多数の者が取得できる公開情報は、本来であれば受領者も自ら取得できる情報であり、それをあえて提供者から受領者に提供する行為は、受領者による取得行為を提供者が代行しているものであることから、実質的に確認・記録義務を課すべき第三者提供には該当せず、同義務は適用されない。
例えば、ホームページ等で公表されている情報、報道機関により報道されている情報などが該当する。他方、特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
なお、当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない(施行規則第20条第1項第1号ロ括弧書)。
また、いわゆる公開情報であっても、「個人情報」に該当するため、保護法第4章第2節のうち、確認・記録義務以外の規定は適用されることには留意する必要がある。
(5) 代行により記録を作成する方法
提供者・受領者のいずれも記録の作成方法・保存期間は同一であることに鑑みて、提供者(又は受領者)は受領者(又は提供者)の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければならない。
(参照条文:保護法29条、施行規則19条から21条まで、通則ガイドライン3-6-5、第三者提供ガイドライン2-2-1-1、2-2-1-2、2-2-1-3、4-1-2-2、4-1-3、4-2-1-1、4-2-1-2)
(第三者提供を受ける際の確認及び記録の作成等)
第19条 協会員は、第三者から個人データの提供を受けるに際しては、以下の各号に定める方法により、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第16条第1項各号又は同条第7項各号のいずれかに該当する場合は、この限りでない。また、個人関連情報取扱事業者から個人関連情報の提供を受けて個人データとして取得する場合は、提供元の個人関連情報取扱事業者において、提供する個人関連情報を個人データとして取得していないことから、第(2)号の確認は不要である。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
個人データを提供する第三者から申告を受ける方法その他の適切な方法
(2) 当該第三者による当該個人データの取得の経緯
個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法
2 協会員は、前項の規定による確認を行ったときは、以下に定める事項に関する記録を都度、速やかに文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。
(1) 本人の同意に基づく個人データの第三者提供を受ける場合
イ 保護法第27条第1項又は保護法第28条第1項の本人の同意を得ている旨
ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(特則一第19条関係)
1. 個人データの提供を受けた場合の確認・記録義務
(1) EU又は英国域内から十分性認定に基づき個人データの提供を受ける場合、保護法第30条第1項及び第3項の規定に基づき、EU又は英国域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
(2) EU又は英国域内から十分性認定に基づき移転された個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、保護法第30条第1項及び第3項に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
2. 利用目的の特定、利用目的による制限
第1項各号のいずれの場合においても、協会員は保護法第30条第1項及び第3項の規定に基づき確認し、記録した当該個人データを当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする。
(解説)
(1) 第三者の氏名等の確認方法の事例
【第三者から申告を受ける方法に該当する事例】
事例1) 口頭で申告を受ける方法
事例2) 所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法
事例3) 本人確認書類の写しの送付を受け入れる方法
【その他の適切な方法に該当する事例】
事例1) 登記されている事項を確認する方法(受領者が自ら登記事項証明書・登記情報提供サービスで当該第三者の名称・住所・代表者の氏名を確認する方法)
事例2) 法人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第15項に規定する法人番号をいう。)の提示を受けて、当該法人の名称、住所を確認する方法
事例3) 当該第三者が自社のホームページなどで名称、住所、代表者の氏名を公開している場合において、その内容を確認する方法
事例4) 信頼性のおける民間のデータ業者のデータベースを確認する方法
事例5) 上場会社等の有価証券報告書等を確認する方法
(2) 取得経緯の確認方法の事例
【適切な方法に該当する事例】
事例1) 提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法
事例2) 提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
事例3) 提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法
事例4) 提供者が本人の同意を得ていることを誓約する書面を受け入れる方法
事例5) 提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法
事例6) 本人による同意書面を確認する方法
(3) 受領者となる協会員は、個人情報取扱事業者から個人データの提供を受ける際には、当該個人情報取扱事業者の保護法の遵守状況(例えば、利用目的、開示手続、問合せ・苦情の受付窓口の公表など)についても確認することが望ましい。
(4) 保護法第30条の要件の該当性は、同条の名宛人である受領者を基準に判断する必要があるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
したがって、例えば、協会員の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の協会員の営業担当者に渡す場合、受領した側の協会員は確認・記録義務を負わない。
(参照条文:保護法30条、施行規則22条から25条まで、通則ガイドライン3-6-6、第三者提供ガイドライン3-1-1、3-1-2、EU等補完的ルール(3))
p.38 / 3
読み込み中...
テキスト領域
選択中
非公開 (PII)