小規模事業者も5月30日から適用対象に！
個人情報保護法ガイドライン 会社の現状チェックと対策

III 個々の対応内容について

（4）適法な第三者提供に向けての対応（本人同意原則との調整）

改正法は個人データの第三者提供がある場合、本人の同意を取るよう定めていますが（改正法23条1項）、一方で、本人同意原則の例外をいくつか認めています。

そこで、実務対応としては、まず、この例外該当性を探ることが「省力化」の観点からは重要になってきます。

改正法の定める例外としては、「共同利用」「外部委託」「事業承継」など改正法23条5項に定めるもの、改正法23条2項で定める「オプトアウト」、法令に基づく場合や緊急時の提供の場合など人の生命等を保護するために必要であるも本人の同意を得られない場合等、改正法23条1項に定めるものがありますが、実務上は「共同利用」「外部委託」「オプトアウト」が重要です。

そこで、まずはこれら例外に当たるための要件を検討していきます。また、今回の改正では個人データの提供の場合における確認・記録義務が新たに定められましたので、これについても紹介します。

［1］共同利用について

「共同利用」を行う場合、下記の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態」に置かなければなりません（改正法23条5項3号）。

以上について若干の補足をしますと、「共同利用する者の範囲」について、ガイドラインによれば、共同利用の趣旨から「事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」と記されており、将来利用者の範囲につき追加・変更の可能性があるのだとすれば、どの範囲まで利用される可能性があるかについては明確にする必要があります。

［2］外部委託について

次は「外部委託」についてです。個人情報保護法は「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」である限りにおいては、情報主体たる本人からの同意を要しないとする一方（法23条5項1号）、そのような委託を行った個人情報取扱事業者は「委託を受けた者に対する必要かつ適切な監督を行わなければならない」とされています（法22条）。

要するに、委託元が当該情報を社内で使用する場合と同様に解し、委託先を第三者提供の規制の対象から外す代わりに、委託元が委託先に対し情報の適切な安全管理が図られるよう必要かつ適切な監督を行わせる、ということです。

そして、改正法の定める基準を充足するためには、外部委託に際しての選定基準をあらかじめ定め、これに従った形で業務委託を行うとともに、契約書において、これが遵守されるよう適切な規定を入れたうえで、かつこれが実施されているかどうかの確認を定期的に行う、といったことが必要となります。いずれにせよ「監督」を行うに当たっては、委託元自身が内部で情報を利用している場合と同じように考える、といった視点から検討することが重要です。

［3］オプトアウトについて

次に、第三者提供に関する例外として重要なものに、改正法23条2項の定める「オプトアウト」があります。これに関する規律は、今回の改正で改めて規定が置かれた改正法特有事項です。

「オプトアウト」とは、事前の同意取得の代わりに、本人の求めに応じて当該本人が識別される個人データの提供を停止することを事前告知することで、個人データを提供する第三者提供の形態のことです（ちなみに、事前に同意を得て個人データを提供する形態のことを「オプトイン」という）。

オプトアウトを実施する場合、どのような形で本人に「オプトアウトを実施すること」「停止の求めに応じること」などをアナウンスするかが問題となるわけですが、改正法23条２項は所定の事項につき個人情報保護委員会に届け出なければならないと定め、届出された事項を個人情報保護委員会が公表する形に規制が改められています（改正法23条4項）。オプトアウトの場合の公表事項を個人情報保護委員会で一元管理する形としたわけです。

併せて事業者の側でも同様の事項を本人に通知し、もしくは本人が容易に知り得る状態にすることが求められています。

［4］第三者提供と確認記録義務

最後に、個人データの第三者提供を行う場合における確認・記録義務についてです。

まず、受領者の確認義務です。

個人データの受領者は、[1]提供元の第三者の氏名・名称と住所、提供元が法人の場合は代表者の氏名、[2]提供に至った個人データを提供元の第三者が取得した経緯を契約書等の提示を受け確認しなければなりません（改正法26条1項）。個人情報取扱事業者は偽りその他不正な手段で個人情報を取得してはいけないことになっていますので（改正法17条1項）、確認義務はこの観点からも履行されなければなりません。

次に記録作成・保管義務についてです。これは提供者・受領者双方の義務です。

個人データの第三者提供を行う場合、提供者は、一定事項を記載した記録を作成する義務があります（提供者については改正法25条１項、受領者については改正法26条3項）。ガイドラインに基づき提供者については図表1、受領者については図表2でまとめましたが、オプトアウトの場合と同意を得たうえでの第三者提供の場合とでは記載事項が異なります（提供者につき規則13条、受領者につき規則17条）。

記録の作成は提供するごとに行われなければなりませんが、二つの例外があります。

まず、一定期間内に特定事業者との間で継続的または反復して個人データの授受をする場合あるいはそのような形で授受が行われることが確実と見込まれる場合は個々の授受に関する記録を作成する代わりに一括して記録を作成できます（提供者につき規則12条2項、受領者につき規則16条2項）。ここにいう「確実と見込まれる場合」とは例えばデータの授受に関する基本契約が締結され、その将来の授受が確実と見込まれる場合のことなどを指します。

さらに、物品・役務の提供に関連し個人情報を提供した場合でこれに関連し作成される契約書その他の書面に上記事項が記載される場合は当該書面で代替することができます（提供者につき規則12条3項、受領者につき規則16条3項）。ちなみに、作成される書面は一つである必要はなく、作成される書面が複数でも、これらをもって必要事項が確認できるのであれば問題ないものとされています。

また、作成当事者は情報主体たる本人・提供者間のもののみならず、提供者・受領者間のものであっても構わないものとされています。例えば職業紹介事業の場面で、本人から得た情報を紹介事業者が雇用を希望する事業者に連絡する場合などはこの例外を用いて対応できるのではないかと考えられ、比較的適用がしやすい例外規定ではないかと考えられます。なお、オプトアウトの場合はこれら例外を使うことができないので注意が必要です。 保存期間は原則3年ですが、上述の例外の場合には別途の保存期間が設けられています（提供者につき規則14条、受領者につき18条〔詳細は図表3参照〕）。

図表1　記載事項（提供者側）

図表2　記載事項（受領者側）

図表3　保存期間