個人情報を第三者に提供する場合の制限について、わかりやすく解説

Last Updated on 2025年9月25日 by 勝

個人情報を第三者に提供する場合の制限について、「個人情報保護法」に基づくルールを、わかりやすく解説します。

１．原則として「しなければならないこと」

個人情報を第三者に提供する際に、企業などが原則として必ず守らなければならない一番大事なルールは、「あらかじめ本人の同意を得ること」です。

どういうことをするの？
- 提供する目的、提供するデータの項目、提供先などについて、本人に分かりやすく説明し、「同意します」という意思を表明してもらう必要があります。
具体的な同意の取り方（例）
- 利用規約やプライバシーポリシーに明記し、ウェブサイト上のチェックボックスをクリックしてもらう。
- 申込書などに「個人情報の第三者提供について同意する」欄を設けて署名してもらう。

原則は同意が必要ですが、例外的に同意が不要な場合や、同意の代わりに別の手続き（オプトアウト）が認められている場合があります。

以下のような、非常に限定されたケースでは、本人の同意がなくても個人データを提供できます。

例外のケース	具体的な例（イメージ）
法令に基づく場合	警察や裁判所からの適法な照会があった場合、税務署からの調査協力の要請があった場合など。
生命・身体・財産の保護に必要な場合	急病で意識不明になった人に代わり、家族の連絡先などを病院に提供する場合など、緊急事態で同意を得るのが難しい場合。
公衆衛生・児童の健全育成に必要な場合	児童虐待の情報を児童相談所や警察などの関係機関で共有し、子どもの安全を守るために必要な場合など。

本人が「やめてほしい」と求めたらすぐに停止できることを前提に、特定の事項を公表し、個人情報保護委員会に届け出れば、本人の同意なしにデータ提供ができる方法もあります。これをオプトアウトと言います。

どういうことをするの？
- 「第三者提供を利用目的としていること」「提供するデータの項目」「提供方法」など、法律で定められた項目をホームページなどで公表し、本人がいつでも確認できるようにします。
- 個人情報保護委員会に届け出を行います。
- 本人から提供停止の求めがあったら、直ちに提供を停止しなければなりません。
してはいけないこと（オプトアウトの制限）
- 人種、病歴、犯罪歴などの「要配慮個人情報」は、このオプトアウトの手続きでは提供できません（必ず本人の同意が必要です）。
- 不正に取得した個人データをこの方法で提供してはいけません。

同意を得るか、例外に該当するかにかかわらず、個人データを第三者に提供したときには、必ず記録を作成し、一定期間（原則３年間）保存しなければなりません。

以下のようなケースは、法律上は「第三者提供」の制限を受けません。ただし、これらの場合も、本人の求めに応じて利用停止に応じるなどの対応は必要になります。

ケース	ルール
業務の委託	外部の業者にデータ処理などの業務を任せる場合（例：顧客リストの印刷・発送を外部の印刷業者に依頼）。※委託先に対する監督義務は発生します。
事業の承継	会社が合併・買収されるなどで、個人データも一緒に引き継がれる場合。
共同利用	グループ会社間で共通の目的のためにデータを共同で利用する場合。※あらかじめ共同利用する旨や利用目的などを本人に通知または公表しておく必要があります。

海外にある会社などに個人データを提供する場合は、さらにルールが厳しくなります。

どういうことをするの？
- 原則として本人の同意が必要です。
- 同意を得るときは、提供先の外国の個人情報保護制度や、提供先が講じる個人情報保護のための措置など、本人に役立つ情報を提供しなければなりません。

まとめると、個人情報を第三者に提供する際の基本は、「本人の同意」です。そして、提供した・受け取ったという「記録」をしっかり残しておくことが非常に重要です。

分類	具体的にどういうことを「しなければならない」か	具体的にどういうことを「してはいけない」か
原則	あらかじめ本人から同意を得る	本人の同意なしに提供する（例外を除く）
手続き	提供に関する記録を作成し、3年間保存する	要配慮個人情報をオプトアウトで提供する
例外	オプトアウトを利用するなら、必要な事項を公表し、委員会に届け出る	不正に取得したデータをオプトアウトで提供する