[個人情報保護法] 第4回：第三者提供の場面（前編）

1.第三者提供の場面について

第三者提供の場面（企業が個人データを第三者に提供する場面）については、第三者提供に関する基本的な考え方を説明した上で、本人同意の例外事項（個人情報保護法（以下「法」という。）23条1項各号）の明確化のほか、令和2年改正法に関連する、オプトアウト規制の強化、外国にある第三者への個人データ提供時における情報提供の充実（法24条）、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供（法26条の2）について説明する。

2.第三者提供に関する基本的な考え方

個人データを第三者に提供する場合、原則として本人の同意が必要となる（法23条1項）。例えば、グループ会社間で個人データを交換する場合も第三者提供となる。もっとも、次のいずれかに該当する場合、例外的に本人の同意がなくても提供が可能とされている（法23条1項各号）。

①法令に基づく場合（法23条1項1号）、②人の生命、身体又は財産の保護に必要であり、かつ、本人の同意を得ることが困難な場合（同項2号）、③公衆衛生・児童の健全な育成に特に必要であり、かつ、本人の同意を得ることが困難な場合（同項3号）、④国の機関等へ協力する必要があり、かつ、本人の同意を得るとその遂行に支障を及ぼすおそれがある場合（同項4号）。

法改正事項ではないが、個人情報保護委員会が2019年12月に公表した制度改正大綱では、上記②、③などについて、「想定されるニーズに応じ、ガイドラインやQ&Aで具体的に示していく」とされている。そして、具体的に示していく事例として、安全面や効果面で質の高い医療サービスや医薬品、医療機器等の実現に向け、医療機関や製薬会社が、医学研究の発展に資する目的で利用する場合などが考えられるとしている。

第三者に個人データを提供する場合には、確認、記録義務（法25条、26条）を履行することが必要である（詳しくは、第5回で説明する。）。

※第三者提供の場面における法規制のイメージ

3.オプトアウトによる第三者提供

本人の求めに応じ、当該本人が識別される個人データの第三者への提供を停止するなど一定の条件を満たす場合、同意取得の例外として、本人の同意を得ることなく第三者に個人データを提供することができる（法23条2項）。従前から、要配慮個人情報を提供する場合にはオプトアウトによる第三者提供は適用できないとされていたが、さらに、令和2年個人情報保護法改正では、①不正取得された個⼈データ、②オプトアウト規定により提供された個⼈データについてもオプトアウトによる第三者提供はできないとされた（改正法23条2項）。なお、オプトアウトによる第三者提供を行うには、あらかじめ、個人情報保護委員会に一定事項を届け出ることなどが必要とされており、注意が必要である。

4.委託、共同利用

委託、事業承継、共同利用に該当する場合、個人データの提供先は個人情報取扱事業者と別主体であり、形式的には第三者に該当するけれども、本人との関係では提供主体である個人情報取扱事業者と一体として取り扱うことに合理性があり、そもそも「第三者」に該当しないとされている（法23条5項各号）。

もっとも、委託に当たるか、共同利用に当たるかについては、個別具体的な検討が必要となる。特に、機械学習モデルの学習を委託する場合には、委託先での取扱いが「委託された業務以外に当該個人データを取り扱う」場合（個人情報保護委員会Q&A5－26－2参照）に該当しないか、注意が必要である。

5.外国にある第三者への提供

第三者提供の特則として、「外国にある第三者」に提供する場合がある。

個人情報保護法第24条で、日本から外国の第三者への個人データに関する規定が設けられており、外国の第三者に対して個人データを提供するには、次の①～③のいずれかを満たす必要がある。

• ① 外国にある第三者に提供することについて、本人の同意があること
• ② 外国にある第三者が、個人情報保護委員会の規則で定める基準に適合する体制を整備していること
• ③ 外国にある第三者が、個人情報保護委員会が認めた国又は地域に所在すること（2020年11月時点で、この条件を満たすのはEU及び英国だけである。）

令和2年改正法では、外国にある第三者への個⼈データの提供時に、移転先事業者における個⼈情報の取扱いに関する本⼈への情報提供の充実等を求めており、今後の動向を注視する必要がある（改正法24条2項、3項）

※外国にある第三者への個人データ提供時における情報提供の充実

出典：個人情報保護委員会資料