個人情報はどこまで共有できるか|委託・共同利用・第三者提供の実務結論
リーガルテック
Tools / 法務実務ツール
法務実務ツールを一覧で見る
契約管理、問い合わせ受付、個人情報マスキング、契約レビュー支援など、Legal GPT が提供する無料ツール・有償ソフト・有償プロンプトを、用途と対象に沿って一覧で整理しています。「自社に何が必要か」を確かめる入口としてご利用ください。
01
Contract Management
LegalOS
契約管理
02
Intake & Logging
LegalOS Inbox
受付・証跡整理
03
Personal Information
LegalOS マスキング
個人情報マスキング
04
AI Prompts
有償プロンプト
契約レビュー・法改正対応
個人情報の共有は、契約実務でもっとも判断を誤りやすい論点の一つです。「社内だから」「グループ会社だから」「委託先だから」という理由で漫然と共有してしまえば、第三者提供規制違反、外国第三者提供違反、委託先監督義務違反といった重大な法的リスクに直結します。本稿では、個人情報・個人データを「どこまで」「誰に」「どの法的整理で」共有できるかを、契約実務で使える判断基準として整理します。
1. 結論:個人情報共有の実務判断はこの順番で行う
本稿の実務結論
個人情報は、社内・グループ会社・委託先・取引先のいずれであっても、自由に共有してよいわけではありません。実務標準としては、以下の順序で判断します。
第一に、対象が「個人情報」か「個人データ」かを確認する。共有規制の中心は「個人データ」にかかる。
第二に、共有先と利用目的を確認する。利用目的の範囲外の共有は、それ自体が原則違反となる。
第三に、法的整理を確定させる。共有は基本的に「委託」「共同利用」「第三者提供」のいずれかに該当する。
第四に、共有先が国内か外国かを確認する。外国にある第三者への提供は、別個の規制が重畳適用される。
第五に、契約条項で「誰に」「何を」「何の目的で」「どの根拠で」「どこまで管理して」渡すかを担保する。
共有の実務は、この順番で「該当性 → 法的整理 → 契約条項 → 記録」を一貫して設計することが基本です。
本稿は、個人情報保護法(令和2年改正法、2022年4月全面施行)と個人情報保護委員会のガイドライン・Q&Aを前提とした実務整理です。なお、現在、個人情報保護法のいわゆる3年ごと見直しに基づく次期改正の検討が進められており、委託を受けた事業者に関する規律の見直し、本人通知義務の一部緩和、不適正利用等への対応強化など、共有・委託実務に影響しうる方向性が示されています。改正動向は今後の運用に影響しうるため、最新の制度改正の状況については、別途、個人情報保護委員会の公表資料を確認してください。
2. まず確認すべき基本用語
共有可否の判断は、対象が法律上どのカテゴリに分類されるかで大きく変わります。とくに「個人情報」と「個人データ」の区別、要配慮個人情報の特別扱いは、契約実務で頻繁に判断ミスが起きる論点です。
| 概念 | 意味 | 共有判断での重要性 | 契約実務上の注意点 |
|---|---|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるもの(他の情報と容易に照合でき識別できるものを含む)。個人識別符号を含むものも該当。 | 取得・利用目的特定・通知公表など全般的な規律の対象になる広い概念。 | 共有規制の中心は「個人データ」だが、利用目的の特定・通知公表義務は個人情報全般にかかる点に注意。 |
| 個人データ | 個人情報データベース等を構成する個人情報。検索可能な状態で体系的に整理された情報の単位。 | 第三者提供規制(27条)、外国第三者提供規制(28条)、委託先監督(25条)、安全管理措置(23条)、提供記録・確認記録(29条・30条)の中心。 | 共有契約のレビューでは「対象が個人データに該当するか」を最初に確認する。データベース化されていない名刺の山と、CRMの顧客リストでは扱いが大きく違う。 |
| 保有個人データ | 個人情報取扱事業者が、開示・訂正・利用停止等に応じる権限を有する個人データ。 | 本人からの開示・訂正・利用停止等の請求対応の対象。共有先との契約で「どちら側が保有個人データ管理者か」を整理する必要がある。 | 委託の場合、保有個人データ管理者は委託元に残るのが原則。共同利用の場合は管理責任者を定める。 |
| 要配慮個人情報 | 人種、信条、社会的身分、病歴、犯罪歴、犯罪被害歴、その他本人に対する不当な差別・偏見等が生じないよう特に配慮を要する記述等が含まれる個人情報。 | 取得段階で原則として本人同意が必要。第三者提供についてオプトアウト方式を利用できないなど、規律が一段厳しい。 | 健康診断結果、メンタルヘルス情報、犯罪歴照会、ハラスメント調査記録などは要配慮個人情報に該当しうる。委託・共同利用でも安全管理を強化する。 |
| 仮名加工情報 | 他の情報と照合しない限り特定の個人を識別できないように加工された個人情報。 | 原則として第三者提供が制限される(一定の例外を除く)。内部利用での分析・統計作成での活用が中心。 | 「仮名加工=自由に共有できる」ではない。識別行為の禁止、漏えい等報告義務の整理を契約に落とし込む必要がある。 |
| 匿名加工情報 | 特定の個人を識別できないように加工し、復元できないようにした情報。 | 本人同意なく第三者提供が可能だが、加工方法の基準遵守、項目の公表、提供時の明示等の義務がある。 | 匿名加工情報は個人情報ではないが、独自の規律がかかる。「匿名化したから自由に共有できる」と即断しない。 |
実務上の注意名刺、社内連絡用の社員名簿、応募書類、健康診断結果、CRMデータ、IPアドレスを含むアクセスログなど、業務で扱う情報のほとんどは何らかの形で個人情報・個人データに該当しうると考えるのが安全です。共有の議論をする前に、まず対象の分類から確認します。
3. 個人情報共有の判断フロー
共有可否は、以下の順序で機械的にチェックすると判断ミスが減ります。実務では、契約レビュー時に対応するレビューシートを用意することが望まれます。
そもそも個人情報・個人データに該当するか。該当しない情報(純粋な統計情報、企業情報のみ等)であれば、個人情報保護法上の共有規制はかからない。
社内利用か、社外への提供か。社内(同一法人内)であれば、原則として「提供」には該当しない。ただし利用目的の範囲内であることが前提。
社外提供の場合、相手は委託先か、共同利用先か、それ以外の第三者か。委託(法27条5項1号)と共同利用(同項3号)は第三者提供に該当しない整理。それ以外は第三者提供。
第三者提供に該当する場合、本人同意があるか。原則として本人同意が必要(法27条1項)。法令に基づく場合等の例外規定の該当性を確認。
本人同意の取得が困難な場合、オプトアウト方式が使えるか。要配慮個人情報、不正取得した情報、オプトアウトで提供を受けた情報は、オプトアウト方式を使えない。
共有先が外国にある第三者か。外国第三者提供(法28条)に該当する場合、原則として本人同意(外国にある第三者への提供である旨等の情報提供を含む)または基準適合体制の整備等が必要。
提供記録・確認記録(法29条・30条)が必要か。第三者提供の場合は原則として記録作成が必要。委託・共同利用は記録不要だが、契約上の管理は必要。
契約条項で何を担保するか。利用目的、安全管理措置、再委託、漏えい等報告、契約終了時の取扱い、監査権等を契約に落とし込む。
4. 「委託」として共有できる場合
委託に伴う個人データの提供は、第三者提供に該当しないものとして整理されます(法27条5項1号)。ただし、これは委託先が委託元の利用目的を達成するために必要な範囲内で個人データを取り扱う場合に限られる、という前提があります。
4-1. 委託として整理するための前提条件
委託先での個人データの利用が、委託元の利用目的の達成に必要な範囲内に限定されていること。
委託先が、自社(委託先自身)の利用目的のために個人データを利用しないこと。委託先独自の利用目的で利用する場合は、もはや委託ではなく第三者提供となる。
委託元が委託先を適切に監督していること(法25条)。委託先監督義務は、委託契約上の義務付け、運用状況の確認、必要に応じた是正という流れで整理される。
委託先における安全管理措置が確保されていること(法23条)。組織的・人的・物理的・技術的安全管理措置がガイドラインで具体化されている。
4-2. 委託契約で定めるべき事項
委託する個人データの内容と項目
委託業務の範囲(利用目的の範囲を超えない取扱いの限定)
安全管理措置の水準(組織・人的・物理・技術)
従業者教育・秘密保持義務
再委託の可否、事前承諾要件、再委託先への同等義務の課し方
委託元の監査・調査権、是正要請権
漏えい等が発生した場合の即時報告義務
契約終了時の返還・廃棄義務とその確認方法
違反時の責任分担(損害賠償、解除等)
4-3. クラウドサービス利用と委託の整理
クラウドサービスや海外SaaSを使うとき、提供先は「第三者」なのか「委託先」なのか、それとも「個人データを取り扱わない単なる場所貸し」なのか、という整理は実務で頻出します。個人情報保護委員会のQ&Aでは、クラウド事業者がサーバに保存された個人データを取り扱わない旨が契約条項で定められており、適切なアクセス制御がなされている場合等は、「個人データを取り扱わないこととなっている」場合として、第三者提供にも委託にも該当しないと整理される、との考え方が示されています。
ただし、これは契約条項と実装の双方が要件を満たしている場合に限られます。契約上の建付けとアクセス制御の実装が伴わなければ、クラウド利用は通常、委託として整理し、委託先監督義務(法25条)の対象として運用するのが安全です。
4-4. 委託の典型例
給与計算・社会保険手続の社労士事務所への委託
商品配送業者への配送先情報の提供
クラウドストレージ・SaaSへの個人データの保存
コールセンター業務の委託
DM発送、印刷、郵送代行
採用代行・労務代行
ITシステム開発・運用保守
実務上の注意「委託として整理しているから第三者提供に該当しない」という結論は、利用目的の範囲、委託先監督、安全管理措置がそろって初めて成立します。委託先が委託元の利用目的を超えて独自にマーケティング利用・分析利用するような運用は、もはや委託ではなく第三者提供と評価されるリスクがあります。
5. 「共同利用」として共有できる場合
共同利用は、第三者提供の例外として整理されます(法27条5項3号)。グループ会社間共有、業務提携先との顧客情報共有、CRM共通利用などで使われる仕組みですが、要件を満たさなければ単なる第三者提供として違反になります。
5-1. 共同利用として整理するための要件
共同利用として第三者に該当しない整理を行うには、原則として、以下の事項について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置いておく必要があります。
特定の者との間で共同して利用する旨
共同して利用される個人データの項目
共同して利用する者の範囲
利用する者の利用目的
当該個人データの管理について責任を有する者の氏名・名称・住所(法人の場合は代表者の氏名)
5-2. 「共同して利用する者の範囲」の実務
共同して利用する者の範囲は、本人がどの事業者まで利用されるかを判断できる程度に明確にする必要があります。事業者の名称を個別にすべて列挙する必要までは必ずしもありませんが、たとえば「当社の子会社及び関連会社」と表記する場合、その子会社・関連会社がホームページ等で公表されていれば範囲が明確と評価できる、というのがガイドライン上の整理です。一方、「弊社が適当と認める者」のような外延が不明確な定め方は、要件を満たしません。
5-3. グループ会社共有の落とし穴
「グループ会社だから」共有できるわけではない。同一法人内であれば「提供」に該当しないが、グループ会社は別法人であり、原則として第三者提供の対象。
共同利用として整理するには、所定の事項の通知・公表が必要。プライバシーポリシーに必要事項を明記しないまま、グループ会社にCRMを共有運用しているケースは違反リスクが高い。
共同利用後、共同利用者の範囲・利用目的の変更には制約がある。とくに利用目的の変更は、本人が通常予期しうる範囲を超えてはならない。
管理責任者を必ず定める。誰が一次窓口となり、開示請求・苦情対応に当たるかを社内で明確化する。
5-4. 共同利用の典型例
親会社と子会社が共通の顧客管理基盤を運用するケース
グループ全体での人事情報の共有(人事ローテーション、グループ採用等)
業務提携先と特定目的(共同マーケティング等)でのデータ共有
業界団体・協議会の中での加盟事業者間情報共有
実務上の注意共同利用は、「グループ会社で広く使い回せる便利な仕組み」ではなく、「事前公表・範囲限定・管理責任者明示」という比較的厳格な要件のもとに第三者提供を不要とする例外規定です。プライバシーポリシーに必要事項が記載されていなければ、形式上は単なる第三者提供(=本人同意要)として扱わざるを得ません。
6. 「第三者提供」として共有する場合
第三者提供は、原則として本人同意を必要とする最も厳格な共有形態です(法27条1項)。実務では、本人同意の取得方法、例外規定の整理、提供記録・確認記録の作成という3点セットで運用します。
6-1. 原則:本人同意が必要
個人情報取扱事業者は、本人の同意を得ずに、個人データを第三者に提供してはなりません。「同意」は、本人が個人データの第三者提供を認める旨の意思表示と理解するに足る合理的かつ適切な方法で取得する必要があります。形式上「同意ボタン」があれば足りるわけではなく、何の情報を、誰に、どのような目的で提供するのかが本人にとって明確であることが求められます。
6-2. 本人同意が不要となる例外
法27条1項各号には、本人同意が不要となる例外が列挙されています。実務で頻出する場面は次のとおりです。
法令に基づく場合(捜査機関への照会、税務当局への提出、行政機関への報告等)
人の生命、身体または財産の保護のために必要があり、本人同意の取得が困難である場合
公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人同意の取得が困難である場合
国の機関等への協力の必要性
学術研究機関等が学術研究目的で取り扱う必要がある場合(個人の権利利益を不当に侵害するおそれがある場合を除く)
なお、現在進められている3年ごと見直しでは、統計情報等の作成に限った第三者提供について本人同意を不要とする方向性等が検討されています。今後、関連条文・規則・ガイドラインの整備が進む可能性があるため、最新の制度動向を踏まえた運用が求められます。
6-3. オプトアウトによる第三者提供
オプトアウト方式(法27条2項)は、所定事項を通知・公表し、個人情報保護委員会への届出をしたうえで、本人からの求めがあれば提供を停止することを条件に、本人同意なく第三者提供を行う仕組みです。実務では、名簿事業者、ダイレクトマーケティング事業者などで利用されてきました。
ただし、以下のいずれかに該当する個人データについては、オプトアウト方式を利用できません。
要配慮個人情報
不正に取得された個人データ
オプトアウトにより提供を受けた個人データ(再オプトアウト禁止)
6-4. 提供記録・確認記録
個人データの第三者提供を行った場合、原則として提供者・受領者の双方が記録を作成し、3年間(取引形態により異なる場合あり)保存する必要があります(法29条・30条)。記録事項は、提供年月日、提供先の氏名・名称、本人氏名、データ項目、本人同意の有無、取得経緯(受領側)等です。
ただし、本人同意により提供される場合や本人と提供先の間で物品・役務の提供契約が結ばれている場合の付随的提供等、一部の類型では記録義務が緩和されます。委託・共同利用は第三者提供に該当しないため、提供記録は不要ですが、契約上の管理が別途必要です。
6-5. 第三者提供の典型例
取引先紹介に伴う担当者情報の提供
名簿の販売・購入
マーケティング目的でのデータ提供
グループ会社外への顧客情報提供(共同利用要件未充足の場合)
M&A・事業譲渡前のデューデリジェンスでの個人データ提供(事業承継として整理する場合は別途要件あり)
7. 外国にある第三者への提供(外国第三者提供)
海外クラウド、海外SaaS、海外グループ会社、海外委託先への提供は、国内の第三者提供規制とは別個に、外国第三者提供規制(法28条)の対象になります。海外サービスの利用が当たり前になった現在、もっとも判断ミスが起きやすい論点です。
7-1. 外国第三者提供の基本構造
個人データを外国にある第三者(個人情報保護委員会規則で定める基準に適合する体制を整備している者、個人情報保護委員会が個人の権利利益保護に関する制度等が日本と同等の水準にあると認める国にある者を除く)に提供する場合、原則として、あらかじめ外国にある第三者への提供を認める旨の本人同意を得る必要があります。
同意取得時には、移転先国の名称、当該国の個人情報保護制度の概要、当該第三者が講じる個人情報保護措置に関する情報を、本人に提供する必要があります。これは2022年の改正で導入された情報提供義務の中核です。
7-2. 外国第三者提供で考慮すべき類型
本人同意により提供する場合:移転先国名、当該国の個人情報保護制度の概要、第三者が講じる保護措置の情報を本人に提供したうえで同意を取得。
同等水準国(EU・英国等)の第三者へ提供する場合:外国第三者提供規制の特別な同意は不要だが、国内第三者提供のルールは適用される。
基準適合体制を整備している外国の第三者へ提供する場合:本人への情報提供を行ったうえで提供可能。提供後、当該外国第三者による相当措置の継続的実施を確保するための措置と、本人の求めに応じた情報提供義務がかかる。
外国にある委託先への提供:外国第三者提供規制と委託の規律が重畳適用される。海外クラウドの利用は、まさにこの類型に当たることが多い。
7-3. 海外SaaS・海外クラウド利用の実務
海外SaaS・海外クラウドの利用は、データセンターの所在地、契約主体(日本法人か外国法人か)、データ取扱いの実態によって整理が変わります。実務では、以下を確認することが標準です。
サービス提供主体は日本法人か、外国法人か
データセンターの所在地、リージョン設定の選択肢
サブプロセッサー(再委託先)の所在地と公表状況
利用約款・データ処理付属契約(DPA)の内容
標準契約条項(SCC)等、相手国における越境移転対応
監査権、サブプロセッサー変更時の通知義務
実務上の注意外国第三者提供は、国名・制度概要・保護措置の3点セットの情報提供と、規律の重畳適用が論点になります。海外SaaS導入時には、調達・IT部門の主導でツール選定が完了したあとに法務に回ってくることが多く、その時点では本人同意取得の機会を逸している例が散見されます。法務依頼受付の段階で「個人データの海外移転が伴うか」を必ず確認する設計が望まれます。
8. 再委託・再共有の実務
委託先がさらに外部業者に個人データを渡す再委託は、サプライチェーン管理の観点で実務上重要な論点です。「委託先までしか見ていない」運用は、漏えい時にリスクが顕在化します。
8-1. 再委託の基本ルール
原則として事前承認制とする。委託契約で「再委託は委託元の事前書面承諾を要する」と定めるのが標準。
再委託先にも委託先と同等以上の義務を課す。とくに安全管理措置、漏えい時報告、再々委託の制限を契約で担保する。
再委託の範囲・内容を可視化する。包括承諾としても、再委託先のリストおよびその更新通知を義務付けるのが望ましい。
多重再委託の透明性を確保する。再々委託、サブプロセッサーのチェーンが長い場合、最終的な取扱者まで責任の所在を確認できる設計にする。
8-2. 再委託先での漏えい時の責任分担
再委託先で漏えい等が発生した場合、対外的な一次責任は委託元にあるのが原則です。委託契約で「再委託先における漏えいは委託先が責任を負う」と定めても、委託先監督義務(法25条)は委託元にかかっており、本人・規制当局との関係では委託元が責任主体となります。再委託は、契約上の責任分担と、対外責任の所在を分けて設計する必要があります。
8-3. サプライチェーン管理
近年、海外SaaSやAIサービスの利用拡大に伴い、サブプロセッサーチェーンが長く、複雑化する傾向にあります。実務では、以下のサプライチェーン管理を契約と運用の双方で組み込みます。
サブプロセッサーリストの公表・更新通知
変更時の異議申立て権
サブプロセッサーへの同等義務の伝達義務
監査権の連鎖(委託元 → 委託先 → 再委託先)
委託終了時の返還・廃棄証明の連鎖
9. 共有可否のOKライン/NGライン/要確認ライン
実務での迅速な判断を支えるため、典型的な共有シナリオごとに判断ラインをまとめます。表中の判断は一般論であり、個別事情により異なる点に留意してください。
| 共有シナリオ | 判断 | 確認ポイント |
|---|---|---|
| 同一法人内での社内共有 | OK | 「提供」に該当しないが、利用目的の範囲内であること、社内での安全管理措置(アクセス制御、目的外利用の禁止)が前提。 |
| 委託先への共有(業務委託に伴う提供) | OK(条件付) | 利用目的の範囲内であること、委託先監督と安全管理措置の確保、委託契約の整備が必要。 |
| グループ会社(別法人)への共有 | 要確認 | 共同利用要件(事前公表、範囲限定、管理責任者明示)の充足を確認。要件を満たさなければ第三者提供として本人同意が必要。 |
| 取引先・提携先への第三者提供 | 要確認 | 原則として本人同意が必要。例外規定該当性、提供記録作成義務、提供先での利用目的の確認が必要。 |
| 海外クラウド・海外SaaSへの預け入れ | 要確認 | 外国第三者提供(法28条)の規律が重畳。同等水準国・基準適合体制・本人同意のいずれかで整理が必要。情報提供義務の履行を確認。 |
| 海外グループ会社への共有 | 要確認 | 外国第三者提供 + 共同利用 or 委託 or 第三者提供の重畳的整理が必要。海外であることを理由に法28条の適用を見落とさないよう注意。 |
| 再委託(委託先からその先への提供) | 要確認 | 事前承諾制を原則とし、再委託先にも同等義務を課す。再委託先での漏えい時の対外責任は委託元に及ぶ。 |
| 要配慮個人情報の共有 | 要厳格対応 | 取得段階で本人同意必要。第三者提供についてオプトアウト方式は使えない。委託・共同利用でも安全管理措置を強化する。 |
| 仮名加工情報の共有 | 要確認 | 原則として第三者提供制限あり。ただし、委託・共同利用・事業承継の枠組みでは提供可能とされる。識別行為の禁止、漏えい時の取扱いについて契約上の取扱い限定が必要。 |
| 匿名加工情報の共有 | OK(条件付) | 本人同意不要だが、加工方法基準の遵守、項目の公表、提供時の明示等の独自義務がある。 |
10. 条項例(NG例 → 修正例 → 実務上の注意)
以下に、共有形態ごとの代表的な条項例を示します。NG例は実務でよく見かけるパターン、修正例は最低限のラインを満たすドラフトです。
10-1. 委託先への個人データ共有条項
条項例①:業務委託に伴う個人データの取扱い
NG例
乙は、本業務に関して取得した個人情報を適切に管理する。
修正例
1. 甲は、本業務の遂行に必要な範囲で、別紙に定める個人データ(以下「本個人データ」という。)を乙に提供する。乙は、本個人データを本業務の遂行の目的にのみ使用し、これを超える利用、加工、第三者提供を一切行ってはならない。
2. 乙は、本個人データの取扱いについて、個人情報の保護に関する法律および関係法令、ならびにガイドライン等に従い、組織的・人的・物理的・技術的安全管理措置を講じる。
3. 乙は、自己の従業者および再委託先(事前に甲の書面による承諾を得たものに限る。)に対して、本条と同等以上の義務を遵守させる。
4. 乙は、本個人データに関する漏えい、滅失、毀損その他の事故またはそのおそれを認識した場合、直ちに甲に報告し、甲の指示に従って対応する。
5. 乙は、本契約の終了またはこれに準ずる事由が生じたときは、甲の指示に従い、本個人データを返還または廃棄し、廃棄については廃棄証明書を提出する。
2. 乙は、本個人データの取扱いについて、個人情報の保護に関する法律および関係法令、ならびにガイドライン等に従い、組織的・人的・物理的・技術的安全管理措置を講じる。
3. 乙は、自己の従業者および再委託先(事前に甲の書面による承諾を得たものに限る。)に対して、本条と同等以上の義務を遵守させる。
4. 乙は、本個人データに関する漏えい、滅失、毀損その他の事故またはそのおそれを認識した場合、直ちに甲に報告し、甲の指示に従って対応する。
5. 乙は、本契約の終了またはこれに準ずる事由が生じたときは、甲の指示に従い、本個人データを返還または廃棄し、廃棄については廃棄証明書を提出する。
実務上の注意
「適切に管理する」だけでは委託先監督義務の根拠としては弱く、いざ漏えいが発生したときに具体的義務違反の主張が困難になる。利用目的限定、安全管理措置、再委託、報告、終了時処理の5点セットで義務付けるのが標準。
10-2. 共同利用条項
条項例②:共同利用に係る取り決め
NG例
甲乙は、グループ全体の事業運営のため、必要に応じて個人情報を共有する。
修正例
1. 甲および乙は、別紙1に定める個人データの項目について、別紙2に定める利用目的の範囲内で、共同して利用する。
2. 共同利用者の範囲は、甲、乙および甲の連結子会社(甲のホームページにおいて公表する一覧に掲げる法人をいう。)に限定する。
3. 共同利用される個人データの管理について責任を有する者は、甲(住所:●●●●、代表者:代表取締役 ●● ●●)とする。本人からの開示、訂正、利用停止等の請求その他の苦情の申出に対する一次窓口は、甲が担当する。
4. 甲および乙は、本条に基づき共同利用される個人データを、別紙2に定める利用目的を超えて利用してはならない。利用目的の変更を行う場合、本人が通常予期しうる範囲内であることを確認のうえ、変更後の利用目的を本人に通知し、または本人が容易に知り得る状態に置くものとする。
5. 共同利用に関する事項は、甲のプライバシーポリシーに明記し、本人が容易に知り得る状態に置くものとする。
2. 共同利用者の範囲は、甲、乙および甲の連結子会社(甲のホームページにおいて公表する一覧に掲げる法人をいう。)に限定する。
3. 共同利用される個人データの管理について責任を有する者は、甲(住所:●●●●、代表者:代表取締役 ●● ●●)とする。本人からの開示、訂正、利用停止等の請求その他の苦情の申出に対する一次窓口は、甲が担当する。
4. 甲および乙は、本条に基づき共同利用される個人データを、別紙2に定める利用目的を超えて利用してはならない。利用目的の変更を行う場合、本人が通常予期しうる範囲内であることを確認のうえ、変更後の利用目的を本人に通知し、または本人が容易に知り得る状態に置くものとする。
5. 共同利用に関する事項は、甲のプライバシーポリシーに明記し、本人が容易に知り得る状態に置くものとする。
実務上の注意
共同利用の核心は、契約間条項ではなく、「本人が容易に知り得る状態に置く」事項(共同利用の旨、項目、範囲、利用目的、管理責任者)の通知・公表。プライバシーポリシーの記載との整合がとれていなければ、契約上「共同利用」と書いていても要件を満たさない。
10-3. 第三者提供同意条項
条項例③:第三者提供に関する本人同意
NG例
当社は、業務上必要な範囲で、お客様の個人情報を第三者に提供することがあります。
修正例
当社は、お客様の個人データを、以下の事業者に対して、以下の目的で第三者提供することについて、お客様の同意を得たうえで提供します。
(1) 提供先:株式会社●●●●(住所:●●●●)
(2) 提供する個人データの項目:氏名、住所、電話番号、メールアドレス、購入履歴
(3) 提供の目的:●●に関するご案内のため
(4) 提供の方法:暗号化されたデータ送信
(5) 提供期間:本同意取得日から1年間
なお、お客様は、当社所定の方法により、いつでも本同意を撤回することができます。同意撤回後の提供は行いません。
(1) 提供先:株式会社●●●●(住所:●●●●)
(2) 提供する個人データの項目:氏名、住所、電話番号、メールアドレス、購入履歴
(3) 提供の目的:●●に関するご案内のため
(4) 提供の方法:暗号化されたデータ送信
(5) 提供期間:本同意取得日から1年間
なお、お客様は、当社所定の方法により、いつでも本同意を撤回することができます。同意撤回後の提供は行いません。
実務上の注意
「業務上必要な範囲」「関係会社」のような不明確な記載では、本人同意として有効性が疑われる。提供先・項目・目的・方法・期間を具体的に明示し、同意撤回のオプションも明記する。提供記録(法29条)の作成を忘れない。
10-4. 外国第三者提供に関する条項
条項例④:外国にある第三者への個人データの提供
NG例
当社は、海外のクラウドサービスを利用して個人情報を処理することがあります。
修正例
当社は、お客様の個人データを、以下のとおり外国にある第三者に提供することについて、お客様の同意を得たうえで提供します。
(1) 提供先:●●●●(提供先所在国:●●国)
(2) 提供する個人データの項目:氏名、メールアドレス、利用履歴
(3) 提供の目的:●●サービスの提供のため
(4) 提供先国の個人情報保護制度の概要:●●(個人情報保護委員会公表の調査結果等を参照)
(5) 提供先における個人情報保護のための措置:標準契約条項(SCC)の締結、技術的・組織的安全管理措置の実施 等
提供先における相当措置の継続的実施の確保のため、当社は定期的にその履行状況を確認し、必要に応じて是正措置を要請します。
(1) 提供先:●●●●(提供先所在国:●●国)
(2) 提供する個人データの項目:氏名、メールアドレス、利用履歴
(3) 提供の目的:●●サービスの提供のため
(4) 提供先国の個人情報保護制度の概要:●●(個人情報保護委員会公表の調査結果等を参照)
(5) 提供先における個人情報保護のための措置:標準契約条項(SCC)の締結、技術的・組織的安全管理措置の実施 等
提供先における相当措置の継続的実施の確保のため、当社は定期的にその履行状況を確認し、必要に応じて是正措置を要請します。
実務上の注意
外国第三者提供は、提供先国名、当該国の保護制度の概要、提供先での保護措置の3点セットの情報提供がコア要件。同等水準国(EU・英国等)への提供と、基準適合体制整備による提供については、別途異なる規律が適用される点に留意。
10-5. 再委託条項
条項例⑤:再委託に関する取り決め
NG例
乙は、本業務の一部を再委託することができる。
修正例
1. 乙は、本業務の全部または一部を、甲の事前の書面による承諾なく、第三者に再委託してはならない。
2. 乙は、再委託について甲の承諾を求めるときは、再委託先の名称、再委託する業務の内容、再委託先における個人データの取扱方法および安全管理措置の内容を、書面により甲に提示する。
3. 乙は、再委託先に対して、本契約に基づき乙が負う義務と同等以上の義務を遵守させる。再委託先がさらに委託(再々委託)を行うことを認める場合も同様とする。
4. 再委託先(再々委託先以下を含む。)における本個人データの取扱いに関する一切の事故・違反について、乙は甲に対して自己の行為と同等の責任を負う。
5. 乙は、再委託先における本個人データの取扱状況について定期的に確認し、その結果を甲に報告する。甲は、必要と認める場合、乙を通じて再委託先に対する是正要請を行うことができる。
2. 乙は、再委託について甲の承諾を求めるときは、再委託先の名称、再委託する業務の内容、再委託先における個人データの取扱方法および安全管理措置の内容を、書面により甲に提示する。
3. 乙は、再委託先に対して、本契約に基づき乙が負う義務と同等以上の義務を遵守させる。再委託先がさらに委託(再々委託)を行うことを認める場合も同様とする。
4. 再委託先(再々委託先以下を含む。)における本個人データの取扱いに関する一切の事故・違反について、乙は甲に対して自己の行為と同等の責任を負う。
5. 乙は、再委託先における本個人データの取扱状況について定期的に確認し、その結果を甲に報告する。甲は、必要と認める場合、乙を通じて再委託先に対する是正要請を行うことができる。
実務上の注意
再委託の事前承諾、同等義務の課し方、再委託先の事故についての責任の所在を3点セットで定める。包括承諾とする場合も、再委託先リストの開示・更新通知義務を課しておくとサプライチェーン管理がしやすい。
10-6. 漏えい時報告条項
条項例⑥:漏えい等発生時の報告
NG例
乙は、漏えい事故が発生した場合、速やかに甲に報告する。
修正例
1. 乙は、本個人データに関する漏えい、滅失、毀損その他の事故(そのおそれを含む。以下「漏えい等」という。)を認識した場合、認識後遅滞なく(原則として24時間以内に)、甲に対して書面または電子メールにより速報を行う。
2. 速報事項:(i) 事案発生日時、(ii) 認知日時、(iii) 漏えい等した個人データの項目および本人の数、(iv) 原因、(v) 被害状況および対応状況、(vi) 二次被害のおそれ。
3. 乙は、速報後速やかに、調査結果に基づく確報および再発防止策を甲に提出する。
4. 乙は、本人通知、規制当局への報告、対外公表等の対応について、甲の指示に従う。これらに要する費用は、漏えい等に関する乙の責に帰すべき事由による場合、乙の負担とする。
2. 速報事項:(i) 事案発生日時、(ii) 認知日時、(iii) 漏えい等した個人データの項目および本人の数、(iv) 原因、(v) 被害状況および対応状況、(vi) 二次被害のおそれ。
3. 乙は、速報後速やかに、調査結果に基づく確報および再発防止策を甲に提出する。
4. 乙は、本人通知、規制当局への報告、対外公表等の対応について、甲の指示に従う。これらに要する費用は、漏えい等に関する乙の責に帰すべき事由による場合、乙の負担とする。
実務上の注意
漏えい等の報告は、令和2年改正により、個人情報保護委員会への報告(法26条)および本人通知が法的義務として整備された。一定の重大事案(要配慮個人情報の漏えい、財産的被害が生じるおそれ、不正の目的によるおそれがある行為による漏えい、1,000人を超える本人にかかる漏えい等)については、速報(事態を知ったときから概ね3〜5日以内)と確報(30日以内。不正アクセス等の場合は60日以内)の二段階報告が求められる。委託先・再委託先での発生を、委託元が遅滞なく把握できるよう、契約条項で速報期限を24時間以内などに具体化しておくことが、規制当局への報告期限を確実に守るうえで重要である。
11. よくあるNG運用
グループ会社だから個人情報を自由に共有できると思っている(共同利用要件未充足のままの共有は第三者提供違反)
委託と第三者提供を混同し、委託契約を整備しないまま外部業者に個人データを渡している
クラウド利用を委託として整理せず、安全管理措置の確認を行っていない
再委託先を把握しておらず、委託先任せで多重再委託が進行している
本人同意の範囲(提供先、項目、目的)を確認せず、漠然とした「同意ボタン」だけで運用している
利用目的を超えた共有が行われていることに気づいていない(マーケティング転用、グループ会社への目的外提供等)
要配慮個人情報を通常の個人情報と同じ扱いにし、安全管理を強化していない
海外ベンダー利用時に、外国第三者提供(法28条)に該当することを確認しないまま導入している
提供記録・確認記録(法29条・30条)を作成していない、または保存期間を満たしていない
委託契約に漏えい時報告義務がなく、委託先側での事故認知から数週間後にしか把握できない
海外SaaSの導入後にプライバシーポリシーの更新を失念し、外国第三者提供に関する情報提供義務が履行できていない
共同利用先の範囲が「弊社が適当と認める者」など外延不明確で、要件を満たしていない
12. 実務チェックリスト
12-1. 共有前チェックリスト(汎用)
共有を検討する前に確認する項目
対象が個人情報・個人データに該当するかを確認したか
要配慮個人情報、仮名加工情報、匿名加工情報のいずれかに該当しないかを確認したか
共有先は誰か(社内・グループ会社・委託先・取引先・海外事業者)を特定したか
共有の利用目的を、利用目的の通知・公表との関係で確認したか
法的整理(委託・共同利用・第三者提供)を確定させたか
外国第三者提供に該当するか確認したか
本人同意・通知・公表のいずれが必要か整理したか
提供記録・確認記録の作成義務を整理したか
12-2. 委託チェックリスト
委託として整理するときに確認する項目
委託先での利用が、委託元の利用目的の範囲内に限定されているか
委託契約に利用目的限定条項があるか
安全管理措置の水準が契約上明示されているか
再委託の事前承諾要件、同等義務の課し方が定められているか
漏えい等発生時の速報期限と報告事項が定められているか
監査権・是正要請権が定められているか
契約終了時の返還・廃棄、廃棄証明の提出が定められているか
委託先における安全管理措置の運用実態を、書面または現地確認等により把握しているか
12-3. 共同利用チェックリスト
共同利用として整理するときに確認する項目
共同利用する旨、項目、範囲、利用目的、管理責任者を特定したか
これらの事項を、本人への通知または本人が容易に知り得る状態(プライバシーポリシー掲載等)に置いているか
共同利用者の範囲が、本人にとって判断可能な程度に明確か(外延不明確な記載になっていないか)
利用目的が、本人が通常予期しうる範囲内か
管理責任者が一次窓口として開示請求等に対応できる体制になっているか
共同利用者間で安全管理水準のばらつきがないか
共同利用者の追加・変更時の通知・公表手続を定めているか
12-4. 第三者提供チェックリスト
第三者提供として共有するときに確認する項目
本人同意を、提供先・項目・目的を特定したうえで取得しているか
本人同意の例外規定に該当するか(法令、生命身体財産保護、公衆衛生・児童育成等)を整理したか
オプトアウト方式を利用する場合、要配慮個人情報や再オプトアウト禁止に該当しないか確認したか
提供記録(法29条)を提供日、提供先、項目、本人同意の有無等の事項について作成したか
提供を受ける側として確認記録(法30条)を作成したか
記録の保存期間(原則3年)を満たす保存体制があるか
12-5. 外国第三者提供チェックリスト
外国第三者提供を行うときに確認する項目
提供先が「外国にある第三者」に該当するかを契約主体・所在地ベースで特定したか
提供先が同等水準国(EU・英国等)に所在するか
提供先が基準適合体制を整備しているか(標準契約条項、CBPR認証等)
本人同意による場合、移転先国名、当該国の制度概要、提供先の保護措置の情報を本人に提供したか
基準適合体制を整備している外国の第三者へ提供する場合、相当措置の継続的実施を確保する措置を講じているか
本人の求めに応じて情報提供を行う体制があるか
プライバシーポリシーに外国第三者提供の旨を記載しているか
12-6. 再委託チェックリスト
再委託の管理で確認する項目
再委託について事前承諾を得る運用になっているか
再委託先の選定理由・能力評価の記録があるか
再委託先に同等以上の義務を課しているか
再々委託(多重再委託)の制限を定めているか
再委託先における事故についての委託先の責任を定めているか
再委託先のサブプロセッサーリスト・更新通知の仕組みがあるか
再委託先における運用実態を、定期的に確認しているか
LEGAL OS INBOX
「契約レビューに回ってきた時点で初めて個人情報が見える」運用は、すでに手遅れです
個人情報を含む案件は、契約レビューに到達する前段階——法務依頼の受付時点で、個人情報の有無、共有先、委託先、再委託、海外ベンダー、本人同意の有無、利用目的を整理しておく必要があります。
LegalOS Inboxは、法務依頼を受け付けた最初の段階で、個人情報の有無、共有先、委託先、再委託、海外ベンダーなどの確認事項を整理し、後段の契約レビューに必要な情報を残すための受付管理ツールです。
LegalOS Inboxを見る →
LegalOS Inboxは、法務依頼を受け付けた最初の段階で、個人情報の有無、共有先、委託先、再委託、海外ベンダーなどの確認事項を整理し、後段の契約レビューに必要な情報を残すための受付管理ツールです。
13. FAQ|個人情報共有に関するよくある質問
グループ会社なら個人情報を自由に共有できますか?
グループ会社は別法人であり、原則として第三者提供の対象になります。共有するには、共同利用(法27条5項3号)の要件である事前公表(共同利用の旨、項目、範囲、利用目的、管理責任者)を充足するか、第三者提供として本人同意を取得する必要があります。「グループだから自由」という運用は、もっとも違反リスクが高い類型です。
委託と第三者提供はどう違いますか?
委託は、委託元の利用目的の達成に必要な範囲内で、委託先が個人データを取り扱う場合をいい、第三者提供には該当しません(法27条5項1号)。これに対し、第三者提供は、提供先が自身の利用目的のために個人データを利用する場合をいい、原則として本人同意が必要です。委託先が委託元の利用目的を超えて独自に利用するならば、それはもはや委託ではなく第三者提供と評価される点に注意してください。
クラウドサービスに個人データを預けるのは第三者提供ですか?
個人情報保護委員会のQ&Aでは、クラウド事業者がサーバに保存された個人データを取り扱わない旨が契約条項で定められており、適切なアクセス制御がなされている場合等は、第三者提供にも委託にも該当しないとされる整理が示されています。それ以外の場合、通常は委託として整理し、委託先監督義務(法25条)の対象として運用するのが安全です。海外クラウドの場合、外国第三者提供規制(法28条)も併せて検討する必要があります。
共同利用には本人同意が必要ですか?
共同利用は第三者提供の例外として整理されるため、原則として個別の本人同意は不要です。ただし、共同利用する旨、項目、範囲、利用目的、管理責任者という所定事項を、あらかじめ本人に通知し、または本人が容易に知り得る状態(プライバシーポリシー掲載等)に置いておく必要があります。所定事項の公表が欠落している場合、形式上は共同利用と書いていても、実質は第三者提供(=本人同意要)として扱わざるを得ません。
第三者提供には必ず本人同意が必要ですか?
原則として本人同意が必要ですが(法27条1項)、法令に基づく場合、人の生命・身体・財産の保護のために必要があり同意取得が困難な場合、公衆衛生の向上または児童の健全な育成の推進のために特に必要があり同意取得が困難な場合、国の機関等への協力、学術研究目的での取扱い等の例外があります。また、オプトアウト方式(法27条2項)は、要配慮個人情報や再オプトアウトに該当しない場合に限り利用可能です。
海外SaaSを使う場合は外国第三者提供になりますか?
海外法人のSaaSや海外データセンターでの処理を伴う場合でも、契約上・実態上、クラウド事業者が個人データを取り扱わない整理となる場合があります(個人情報保護委員会Q&A参照)。一方、クラウド事業者が個人データを取り扱う場合には、外国第三者提供規制(法28条)への該当性、または委託として整理する場合の委託先監督の要否を、いずれも検討する必要があります。法28条が適用される場合、提供先が同等水準国(EU・英国等)に所在するとき、または基準適合体制を整備しているときは、特別な本人同意は不要となりますが、本人への情報提供等の規律は適用されます。本人同意で対応する場合、移転先国名、当該国の個人情報保護制度の概要、提供先における保護措置の情報を本人に提供する必要があります。
再委託先まで契約で管理する必要がありますか?
必要です。委託先監督義務(法25条)は、再委託先における取扱いにも事実上及びます。再委託は事前承諾制を原則とし、再委託先にも委託先と同等以上の義務を課したうえで、再委託先における事故についても委託先が責任を負う構成にしておくのが標準です。再委託先での漏えいの対外責任は、最終的に委託元に及ぶ点を踏まえ、サプライチェーン全体での管理設計が求められます。
要配慮個人情報は通常の個人情報と同じように共有できますか?
同じ扱いはできません。要配慮個人情報は、取得段階で原則として本人同意が必要であり、第三者提供についてオプトアウト方式が利用できないなど、規律が一段厳しい類型です。委託や共同利用として共有する場合も、安全管理措置を強化し、アクセス制限、アクセスログ管理、目的外利用の禁止等を運用面で徹底する必要があります。健康診断結果、メンタルヘルス情報、ハラスメント調査記録、犯罪歴照会等が典型的に該当します。
提供記録・確認記録はどのような場合に必要ですか?
第三者提供を行った場合(提供記録:法29条)および第三者提供を受けた場合(確認記録:法30条)に、原則として記録作成と保存(原則3年)が必要です。ただし、本人同意により提供される場合や、本人と提供先との間で物品・役務の提供契約が結ばれている場合の付随的提供等、一部の類型では記録義務が緩和されます。委託・共同利用・事業承継は第三者提供に該当しないため、提供記録は不要ですが、契約上の管理は別途必要です。
仮名加工情報は社外と自由にやり取りできますか?
できません。仮名加工情報は、原則として第三者提供が制限されます(一定の例外を除く)。仮名加工は内部での分析・統計作成での活用が中心であり、識別行為の禁止、漏えい等報告義務等の独自規律も適用されます。「仮名加工=自由に共有できる」という誤解は実務でしばしば見られますが、安全に共有できるのは加工方法基準に従った匿名加工情報(独自の規律あり)か、本人同意済みの個人データに限られます。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
リーガルテック
