個人情報保護法対策室
個人情報保護法対策室
トップページ
個人情報保護の重要性と個人情報保護法制定・改正の背景
個人情報保護法の解説
個人情報取扱事業者に課せられる義務の概要
・ 1. 利用目的の特定・公表
・ 2. 適正管理、利用、第三者への提供
・ 3. 本人の権利と関与
・ 4. 本人の権利への対応
・ 5. 苦情の処理
・ 6. 匿名加工情報取扱事業者等の義務
違反時の罰則とリスク
個人情報保護セキュリティ対策
リンク集
2. 適正管理、利用、第三者への提供
個人データの適正管理、利用、第三者提供の制限。個人情報保護法の中核部分。


【 第19条 】データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない


1 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければなりません。 しかし、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足ります。 さらに、個人情報取扱事業者は、保有する個人データについて利用する必要がなくなったとき(利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合)や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければなりません。なお、法令の定めにより保存期間等が定められている場合は、この限りではありません。

 
【個人データについて利用する必要がなくなったときに該当する事例】
 
事例) キャンペーンの懸賞品送付のため、当該キャンペーンの応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合


< 補足情報 >
  • 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。


【 第20条 】安全管理措置
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。


個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければなりません。当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければなりません。



< 補足情報 1 >
  ◆組織的安全管理措置
 
  1. 個人データの安全管理措置を講じるための組織体制の整備
  2. 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
  3. 個人データの取扱状況の一覧できる手段の整備
  4. 個人データの安全管理措置の評価、見直し及び改善
  5. 事故又は違反への対処
 
  【個人データの取扱いに関する規程等に記載することが望まれる事項】
 
  1. 取得・入力
  2. 移送・送信
  3. 利用・加工
  4. 保管・バックアップ
  5. 消去・廃棄
  ◆人的安全管理措置
 
  1. 雇用契約時及び委託契約時 における非開示契約の締結
  2. 従業者に対する教育・訓練の実施
  ◆物理的安全管理措置
 
  1. 入退館(室)管理の実施
  2. 盗難等の防止
  3. 機器・装置等の物理的な保護
  ◆技術的安全管理措置
 
  1. 個人データへのアクセスにおける識別と認証
  2. 個人データへのアクセス制御
  3. 個人データへのアクセス権限の管理
  4. 個人データのアクセスの記録
  5. 個人データを取り扱う情報システムについての不正ソフトウェア対策
  6. 個人データの移送・送信時の対策
  7. 個人データを取り扱う情報システムの動作確認時の対策
  8. 個人データを取り扱う情報システムの監視


< 補足情報 2 >
  • 近年の個人情報流出事件では、外部からの不正アクセスによる情報漏えいは20%以下で、80%以上が従業員や業務委託先従業員といった内部の従業者による流出事故や漏えい事件であると言われています。
  • 相次ぐ事故・事件に対して、経済産業分野のガイドラインでは特に以下の分野の対策強化を求めています。
    • 個人情報を閲覧できる従業者の限定
    • 個人情報の持ち出し制限
    • 外部からの個人情報への不正アクセス防止策の導入
    • 従業者に対する個人情報保護研修の実施
    • 個人情報漏えい時は当該本人に速やかに通知
    • 事件内容の公表(類似事件の発生回避)
  • 従業者に対する情報セキュリティ対策として、個人データに対する「アクセス制限・アクセス管理、監視」が有効です。また業務マニュアルの規定によって、持ち出し制限や移動時の取り決め、暗号化等 の手順を決め、全て、申請・承認によって処理することを決めて、守らせることも重要です。これらによって、情報漏えい事故を防止し、従業者による情報流出を抑制することが可能です。


【 第21条 】従業者の監督
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。


1 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たって、法第20条に基づく安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければなりません。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望まれます。
「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も全て含まれます。

 
【従業者に対して必要かつ適切な監督を行っていない事例】
 
事例1) 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
事例2) 内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体を繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合


< 補足情報 >

「監督」とは?下表のように監督対象が担当業務を実施できる能力を有するかを確認し、その上で「契約」によって実施水準を担保し、実施状況をモニタリングする一連の方法で行います。


  監督対象 監督方法(1〜7を実施)
1 委託先 監督の前提である業務を実施できるだけの力量(知識・経験・能力/基準)を保持していることの確認
従業者 教育履歴【ルール・文書化・伝達・理解・訓練
2  委託先 監督対象業務を実施するための基準を業務マニュアル、SLA、業務委託契約等で担保
従業者 就業規則、非開示誓約等による契約
3  委託先 2を前提に業務を適正に実施することを指示(動機付:2で定めたペナルティとインセンティブを明確に伝達)
従業者 ルール・文書化・伝達・理解・訓練→指示&動機付
4  委託先 2に記載したモニタリングの仕組みを適切に実行
従業者 ルール・文書化・伝達・理解・訓練・指示&動機付→モニタリング
5  委託先 2に記載し3で指示した基準を逸脱している場合は業務を停止し改善を求め改善状況を確認し業務を再開する
従業者 改善指示→フォローアップ(改善の確認)
6  委託先 2に記載し3で指示した品質を確認検収(納品受け入れ)
従業者 完了報告・確認/納品・検収
7  委託先 2に記載し3で指示、伝達したペナルティ、インセンティブを適切に実施
従業者 ペナルティ、インセンティブを適切に実施


【 第22条 】委託先の監督
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。


1 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、委託を受けた者(委託先)が当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければなりません。具体的には、個人情報取扱事業者は、法第20条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行います。
その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければなりません。

(1) 適切な委託先の選定
  委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条及び個人情報保護委員会ガイドラインで委託元に求められるものと同等であることを、あらかじめ確認しなければなません。
(2) 委託契約の締結  
  委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望まれます。
(3) 委託先における個人データ取扱状況の把握  
  委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望まれます。
また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望まれます。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様に措置しなければなりません。
 
【委託を受けた者に対して必要かつ適切な監督を行っていない事例】
 
事例1) 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
事例2) 個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
事例3) 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
事例4) 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合


< 補足情報 >

「監督」とは?次の図のように監督対象が担当業務を実施できる能力を有するかを確認し、その上で「契約」によって実施水準を担保し、実施状況をモニタリングする一連の方法で行います。


  監督対象 監督方法(1〜7を実施)
1 委託先 監督の前提である業務を実施できるだけの力量(知識・経験・能力/基準)を保持していることの確認
従業者 教育履歴【ルール・文書化・伝達・理解・訓練
2  委託先 監督対象業務を実施するための基準を業務マニュアル、SLA、業務委託契約等で担保
従業者 就業規則、非開示誓約等による契約
3  委託先 2を前提に業務を適正に実施することを指示(動機付:2で定めたペナルティとインセンティブを明確に伝達)
従業者 ルール・文書化・伝達・理解・訓練→指示&動機付
4  委託先 2に記載したモニタリングの仕組みを適切に実行
従業者 ルール・文書化・伝達・理解・訓練・指示&動機付→モニタリング
5  委託先 2に記載し3で指示した基準を逸脱している場合は業務を停止し改善を求め改善状況を確認し業務を再開する
従業者 改善指示→フォローアップ(改善の確認)
6  委託先 2に記載し3で指示した品質を確認検収(納品受け入れ)
従業者 完了報告・確認/納品・検収
7  委託先 2に記載し3で指示、伝達したペナルティ、インセンティブを適切に実施
従業者 ペナルティ、インセンティブを適切に実施


【 第23条 第1項 】第三者提供の制限の原則

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
【 第23条 第2項 】オプトアウトに関する原則

個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

  1. 第三者への提供を利用目的とすること。
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
  5. 本人の求めを受け付ける方法
【 第23条 第3項 】オプトアウトに関する事項の変更
個人情報取扱事業者は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
【 第23条 第4項 】個人情報保護委員会によるオプトアウトに関する事項の公表
個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
【 第23条 第5項 】第三者に該当しない場合(委託、合併、共同利用)

次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

  1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
  2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
  3. 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
【 第23条 第6項 】共同利用に係る事項の変更
個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。


1 個人情報取扱事業者は、個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはなりません。同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければなりません。なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければなりません。

【第三者提供とされる事例】
 
事例1) 親子兄弟会社、グループ会社の間で個人データを交換する場合
事例2) フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
事例3) 同業者間で、特定の個人データを交換する場合
【第三者提供とされない事例】(ただし、利用目的による制限があります。)
 
事例) 同一事業者内で他部門へ個人データを提供する場合

ただし、次の(1)から(4)までに掲げる場合については、第三者への個人データの提供に当たって、本人の同意は不要です。

(1) 法令に基づいて個人データを提供する場合(法第23条第1項第1号関係)
(2) 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
(3) 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
(4) 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合


2 個人情報取扱事業者は、個人データの第三者への提供に当たり、次の(1)から(5)までに掲げる事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、法第23条第1項の規定にかかわらず、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる(オプトアウトによる第三者提供)。また、個人情報取扱事業者は、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らもインターネットの利用その他の適切な方法により公表しなければなりません。

(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目
 
事例1) 氏名、住所、電話番号、年齢
事例2) 氏名、商品購入履歴
(3) 第三者への提供の方法
 
事例1) 書籍(電子書籍を含む。)として出版
事例2) インターネットに掲載
事例3) プリントアウトして交付
事例4) 各種通信手段による配信
事例5) その他外部記録媒体の形式での交付
(4) 本人の求めに応じて第三者への提供を停止すること。
(5) 本人の求めを受け付ける方法
 
事例1) 郵送
事例2) メール送信
事例3) ホームページ上の指定フォームへの入力
事例4) 事業所の窓口での受付
事例5) 電話
  【オプトアウトによる第三者提供の事例】
 
事例) 住宅地図業者(表札や郵便受けを調べて住宅地図を作成・販売)やデータベース事業者(ダイレクトメール用の名簿等を作成・販売)が、あらかじめ上記(1)から(5)までに掲げる事項を自社のホームページに常時掲載し、本人からの停止の求めを受け付けられる状態にし、個人情報保護委員会に必要な届出を行った上で、販売等を行う場合


3 個人情報取扱事業者は、オプトアウトにより個人データの第三者提供を行っている場合、(2)提供される個人データの項目、(3)提供の方法又は(5)第三者への提供を停止すべきとの本人の求めを受け付ける方法を変更する場合は、変更する内容について、変更に当たってあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません。なお、個人情報取扱事業者は、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らも公表しなければなりません。



4 個人情報保護委員会による公表については個人情報取扱事業者の義務ではないため、説明を省略します。



5 次の(1)委託(2)事業の承継(3)共同利用の場合については、個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当しますが、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとします。

(1) 委託
  利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しません。なお、個人情報取扱事業者には、委託先に対する監督責任が課されます。
 
事例1) データの打ち込み等、情報処理を委託するために個人データを提供する場合
事例2) 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合
(2) 事業の承継
  合併、分社化、事業譲渡等により事業が承継されることに伴い、当該事業に係る個人データが提供される場合は、当該提供先は第三者に該当しません。なお、事業の承継後も、個人データが当該事業の承継により提供される前の利用目的の範囲内で利用しなければなりません。また、事業の承継のための契約を締結するより前の交渉段階で、相手会社から自社の調査を受け、自社の個人データを相手会社へ提供する場合も、本号に該当し、あらかじめ本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができますが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければなりません。
 
事例1) 合併、分社化により、新会社に個人データを提供する場合
事例2) 事業譲渡により、譲渡先企業に個人データを提供する場合
(3) 共同利用
  特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、次の[1]から[5]までの情報を、提供に当たりあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しません。また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、既に取得している事業者が特定した利用目的の範囲で共同して利用しなければなりません。
 
[1] 共同利用をする旨
[2] 共同して利用される個人データの項目
事例1)氏名、住所、電話番号、年齢
事例2)氏名、商品購入履歴
[3] 共同して利用する者の範囲
「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することです。したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があります。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はありませんが、本人がどの事業者まで利用されるか判断できるようにしなければなりません。
[4] 利用する者の利用目的
共同して利用する個人データについて、その利用目的を全て、本人に通知し、又は本人が容易に知り得る状態に置いていなければなりません。なお、利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載することが望まれます。
[5] 当該個人データの管理について責任を有する者の氏名又は名称
「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいいます。なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではありません。 また、個人データの管理について責任を有する者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人データを正確かつ最新の内容に保つよう努めなければなりません。
  【共同利用に該当する事例】
 
事例1) グループ企業で総合的なサービスを提供するために取得時の利用目的(法第15条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
事例2) 親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
事例3) 使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合


6 個人情報取扱事業者は、個人データを共同利用する場合において、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができ、「個人データの管理について責任を有する者の氏名又は名称」についても変更することができますが、いずれも変更する前に、本人に通知し、又は本人が容易に知り得る状態に置かなければなりません。なお、「共同して利用される個人データの項目」及び「共同して利用する者の範囲」について変更することは、原則として認められませんが、例えば次のような場合は、引き続き共同利用を行うことができます。
 
事例1) 共同利用を行う個人データの項目や事業者の変更につき、あらかじめ本人の同意を得た場合
事例2) 共同利用を行う事業者の名称に変更があるが、共同して利用される個人データの項目には変更がない場合
事例3) 共同利用を行う事業者について事業の承継が行われた場合(共同利用する個人データの項目等の変更がないことが前提)


【 第24条 】外国にある第三者への提供の制限

個人情報取扱事業者は、外国(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほかは、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条(第23条)の規定は、適用しない。

規則第11条
法第24条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。

  1. 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節(個人情報取扱事業者の義務)の規定の趣旨に沿った措置の実施が確保されていること。
  2. 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。


1 個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、次の[1]から[3]のいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要があります。

 
[1] 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定めるにある場合
[2] 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
[3]

以下の法第23条第1項各号に該当する場合

法第23条第1項

  1. 法令に基づいて個人データを提供する場合
  2. 人(法人)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
  3. 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
  4. 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合


< 補足情報 >

外国にある第三者に対する個人データの提供が、法第23条に規定する方法のいずれにより行われるかによって、法第24条の適用が決まります。


  法第24条
外国にある第三者への提供を認める旨の本人の同意 規則で定める基準に適合する体制を整備 規則で定められた国
法23条
提供方法
(1)本人の同意
(法第23条第1項柱書)
法第24条の該当の措置を講ずる必要がある 法第24条の該当の措置を講ずる必要がある 法第24条の該当の措置を講ずる必要がある
(2)オプトアウト
(法第23条第2項)

(オプトアウトには同意の概念はない)
法第24条の該当の措置を講ずる必要がある 法第24条の該当の措置を講ずる必要がある
(3)委託、合併、共同利用
(法第23条第5項各号)
法第24条の該当の措置を講ずる必要がある 法第24条の該当の措置を講ずる必要がある 法第24条の該当の措置を講ずる必要がある
(4)法第23条第1項
(法第23条第1項各号)
法第24条の該当の措置を講ずる必要はない 法第24条の該当の措置を講ずる必要はない 法第24条の該当の措置を講ずる必要はない


【 第25条 第1項 】第三者提供の制限の原則
個人情報取扱事業者は、個人データを第三者(委託、合併、共同利用を除く。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれか(前条の規定による個人データの提供にあっては、第23条第1項各号のいずれか)に該当する場合は、この限りでない。
【 第25条 第2項 】第三者提供に係る記録の保存
個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
【 第26条 第1項 】第三者提供を受ける際の確認

個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。

  1. 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
  2. 当該第三者による当該個人データの取得の経緯
【 第26条 第2項 】確認事項を偽ってはならない
前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。


< 補足情報 >
第三者提供時の確認、記録義務 早見表

【画像】「第三者提供時の確認、記録義務 早見表」を開く



▲ ページTOP


< 前へ 次へ >

このサイトについて   |   サイトマップ   |   個人情報保護について
Copryright (c) 2004-2017, NEC Nexsolutions, Ltd.