個人情報の保護に関する法律（個人情報保護法）において個人データの第三者提供を行うためには、原則として本人の同意が必要です。ただし、一定の例外や特別な手続きを踏めば、本人の同意なしで提供できる場合もあります。

企業や担当者が上記のルールを正しく理解していなければ、法令違反になる可能性も否定できません。

本記事では、個人情報を取り扱う企業の担当者や管理部門の方を対象に、第三者提供の基本的な考え方、オプトアウト制度や外国にある第三者への提供ルールについて解説します。

個人情報保護委員会のガイドラインや関連情報を基に解説しているため、実務で判断に迷った際の基礎知識としてお役立てください。

1.個人情報保護法における第三者提供とは？

個人情報保護法における個人データの第三者提供とは、個人データを本人および当該個人データにかかる、個人情報取扱事業者以外の第三者に提供することを指します。本章では、第三者提供とされる事例と、されない事例を見ていきましょう。

なお、個人情報保護法と個人データに関する内容は以下の記事で詳しく解説しています。

関連記事：【2025年最新】個人情報保護法とは？改正のポイントと企業が取るべき対応

関連記事：個人情報保護法ガイドラインとは？最新改正と実務対応のポイントを解説

1-1.第三者提供とされる事例

個人情報の保護に関する法律についてのガイドライン（通則編）3-6-1 第三者提供の制限の原則（法第27条第1項関係）において記載されている第三者提供とされる代表的な事例は、以下のとおりです。

• 親子会社、グループ会社の間での個人データ交換

• フランチャイズ組織の本部と加盟店の間での個人データ交換

• 同業者間で特定の個人データの交換

[参考1]

個人情報保護法における「提供」とは、個人データを自己以外の者が利用可能な状態に置くことを指します。[参考2]

個人データが物理的に提供されていない場合でも、ネットワーク上などで利用できる場合、提供と判断されます。形式ではなく、第三者が利用可能かどうかという実態に基づく判断が重要です。

1-2.第三者提供とされない事例

一方で、一定の条件を満たす場合は、個人データの第三者提供には該当しないとされています。

代表例は、以下の3つです。

• 委託

• 事業承継

• 共同利用

利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データを委託先が取り扱う場合、当該委託先は「第三者」に該当しないとされています。そのため、当該委託先への個人データの提供は、本人の同意を必要とする第三者提供には該当しません。

なお、委託元が利用目的の範囲内で提供し、委託先が目的外利用等の不適切な行為を行わないよう必要かつ適切な管理監督を行う必要があります。

また、合併や会社分割などの事業承継により個人データが移転する場合も、第三者提供とは区別されます。なお、事業の承継後も、個人データが当該事業の承継により提供される前の利用目的の範囲内で利用しなければなりません。

さらに、特定の者との間で個人データを共同利用する場合、以下の事項をあらかじめ本人に通知するか、本人が容易に知ることができる状態に置いているときは、当該提供先は「第三者」に該当しません。そのため、当該共同利用先への個人データの提供は、本人の同意を必要とする第三者提供には該当しないと整理されています。

• 共同利用をする旨

• 共同して利用される個人データの項目

• 共同して利用する者の範囲

• 利用する者の利用目的

• 個人データの管理について責任を有する者の氏名または名称等

なお、（違法な）第三者提供と混同しやすいものとして「個人データの漏えい」が挙げられます。漏えいは、個人情報取扱事業者の管理不備や不正アクセスなどにより、本人の意思や事業者の意図に基づかずに個人データが外部に流出する事態のことです。一方で、（違法な）第三者提供行為は事業者自らの意思に基づき個人データを第三者が利用可能な状態に置く行為であり、両者は明確に区別されます。

両者の違いを知ることが適切な個人情報管理につながるため、適切に理解しておきましょう。

2.第三者に個人データを提供する場合の原則

個人情報を第三者に提供する場合、個人情報保護法では、原則として本人の同意を得るほか一定のルールを遵守しなくてはなりません。本章では、個人データを提供する側と受け取る側に分けて、ルールを見ていきましょう。

2-1.【提供する側】あらかじめ本人の同意を得る

個人情報保護法では、個人データを第三者に提供する際、原則として本人の同意を得ることが義務付けられています。個人データが第三者に提供されると、本人が予期しない形で情報が利用・流通し、不測の権利利益侵害をもたらすおそれがあるため、本人が自らの情報の取扱いについて把握し、コントロールできるようにする趣旨です。

本人の同意は、少なくとも、事業の規模や性質、個人データの取扱状況に応じて、本人が同意するか否かを判断するために必要と考えられる、合理的かつ適切な範囲の内容を明確に示さなければなりません。具体的には、以下の3点を明示する必要があるとされています。

• 提供先

• 提供される個人データの内容

• 提供を受けた第三者における利用目的

なお、提供先の氏名や名称を個別にすべて明示することまでは求められておらず「第三者に提供する」という形で包括的に同意を取得することも可能です。

個人情報保護法ガイドラインでは同意の方法として、書面による同意に限らず、Web上でのチェックボックスへの同意や、口頭での同意なども認められています。ただし、本人が内容を十分に理解したうえで、自由な意思により同意していることが前提です。

同意取得の際には、可能な限り曖昧な表現や包括的な表現を避け、わかりやすい説明を心掛けましょう。

2-2.【提供する側】提供したことを記録して保管する

個人データを第三者に提供した場合、原則として提供する側は提供した事実を記録し、一定期間保管する義務があります。記録義務は、トレーサビリティの確保、すなわち個人データの第三者提供が適法に行われていることを後から確認できるようにするために設けられました。

記録すべき主な事項は、以下のとおりです。

• 提供した年月日

• 提供先の第三者の氏名または名称

• 提供した個人データによって識別される本人の氏名等

• 提供した個人データの項目

• 本人の同意を得ている場合はその旨 など

情報を整理して残しておくことで、監督機関からの確認やトラブル発生時にも適切に対応できます。

第三者提供に関する記録は、原則として3年間保管しなければいけません。電子データでの保存も認められているため、業務の実態に応じて管理方法を定め、継続的に運用していきましょう。

なお、本人による提供や、本人の委託等に基づき本人に代わって提供するケース、または公開情報の提供など、確認・記録義務の趣旨に照らして実質的に義務を課す必要性が乏しいと判断される場合には、提供者に確認・記録義務は適用されません。[参考3]

2-3.【受け取る側】適法性を確認し、受領したことを記録して保管する

第三者から個人データを受け取る側にも、義務が課されています。受領側のルールは大きく分けて、以下の2つです。

• 確認義務

• 記録義務

確認義務とは、個人データが適法に提供されたものであるかを確認することです。具体的な項目としては、提供元の事業者名、個人データの取得の経緯（例：提供の根拠となる本人同意の有無、法令に基づく提供であるかどうかなど）があります。

加えて、個人データを受領した事実についても、記録を残す義務があります。記録すべき主な事項は、以下のとおりです。

• 受領年月日、

• 提供元の氏名等

• 提供した個人データによって識別される本人の氏名等

• 提供を受けた個人データの項目

• 第三者による個人データの取得の経緯

提供する側と同様に、原則として3年間保管しなければいけません。

受領側が確認・記録の義務を十分に果たしていない場合、結果として違法な第三者提供に関与したと判断されるリスクが高まるため、注意しましょう。

ただし、以下のような、確認・記録義務の趣旨に照らして実質的に義務を課す必要性が乏しいケースでは、確認・記録義務は適用されません。

• 本人と一体と評価できる代理人や家族からの提供や公開情報の取得

• または受領者にとって個人データに該当しない情報を受け取った場合

単なる閲覧行為や、受領者の意思に反して一方的に情報が送付された場合も、原則として同義務の対象外とされています。[参考4]

個人情報保護法の罰則については、以下の記事で詳しく解説していますので、併せてご覧ください。

関連記事：個人情報保護法に違反した場合の罰則は？企業が取るべき防止策も解説

3.本人の同意なしで第三者に提供できる例外的なケース

個人情報保護法では、一定の法定条件を満たす場合に限り、本人の同意を得ずに第三者へ個人データを提供することが例外的に認められています。主な例外的ケースは、以下のとおりです。

• 法令に基づく場合

• 人の生命・身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき

• 公衆衛生の向上や児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難であるとき

• 国の機関や地方公共団体、その委託先が法令の定める事務を遂行するために協力する必要がある場合で、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

• 学術研究機関等による学術研究目的での提供で、一定の要件を満たす場合

上記のケースでは、本人の同意取得が現実的でなかったり、同意を得ることで本来の目的が達成できなくなったりする恐れがあるため、例外として同意が不要とされています。

ただし、いずれの場合も無制限に提供できるわけではありません。提供は必要最小限の範囲にとどめることや、関係法令・ガイドラインを踏まえた慎重な判断が求められる点には、注意しましょう。

4.同意を代替できるオプトアウト制度

オプトアウト制度とは、個人データを第三者に提供する際に、事前に本人の同意を取得しない場合でも、法令で定められた厳格な要件をすべて満たす場合に限り、提供を認める仕組みです。

オプトアウト制度を利用するには、第三者提供を行う旨や提供される情報の内容、提供停止方法などをあらかじめ本人に周知し、容易に確認できる状態にしておく必要があります。

さらに、提供情報内容や停止方法を個人情報保護委員会に届け出ることも必要です。
なお、すべての個人情報がオプトアウト制度の対象になるわけではありません。以下のデータは、本人の権利利益への影響が大きく、取得や提供の面で問題が生じやすいため、オプトアウト方式での提供は認められていません。

• 要配慮個人情報

• 不正な手段により取得された個人データ（2020年法改正により追加）

• オプトアウト方式で第三者提供された個人データ（2020年法改正により追加）

オプトアウト制度に当てはまらない個人データを第三者に提供する場合、原則どおり本人の同意を得ることが必要です。

オプトアウト制度について、詳しくは以下の記事で解説していますので、ぜひご覧ください。

関連記事：個人情報保護法におけるオプトアウトの意味や具体例、注意点を解説

5.外国にある第三者に提供する場合の原則

個人データを外国にある第三者へ提供する場合、国内の第三者提供とは異なる追加のルールが適用されます。外国にある第三者とは、日本国外に所在する法人・団体・個人を指し、海外子会社や海外クラウド事業者なども含まれます。

外国にある第三者に個人データを提供する場合、国内の第三者提供に関するルールに加えて、原則として外国にある第三者への提供を認める旨の本人の同意が必要です。さらに、外国にある第三者に個人データが提供されることにつき本人が十分に判断できるよう、同意取得の際は以下のような一定の情報を、事前に提供しなければいけません。

• 提供先が所在する外国の名称

• 当該外国における個人情報保護制度の概要

• 提供先が講じている個人データ保護のための措置の内容

一方、以下のような場合、本人の同意が不要とされる例外も存在します。

• 個人情報保護委員会が十分な個人情報保護水準を有すると認めた国（EU・英国）への提供

• 提供先が日本と同等の個人データ保護体制を継続的に確保している場合

• 法令に基づく場合

外国への個人情報の提供は、本人への情報提供と例外要件の確認が、特に重要です。

6.個人情報保護法に関するリサーチは「Legalscape」にお任せ

個人情報保護法における第三者提供とは、個人データを本人および事業者以外に提供する行為です。原則として、本人同意が必要である一方、例外的なケースやオプトアウト制度、外国にある第三者への提供など、実務では細かな判断が求められます。

第三者提供について正しく理解するためには、条文だけではなくガイドラインや通達、改正履歴まで含め確認が必要ですが、個別に調べるには大幅な手間がかかります。

Legalscapeを活用すると、知りたい法情報を入力するだけでAIが瞬時に要約可能です。業界最大規模のコンテンツが収録され、リサーチ結果の共有やコピペ・印刷も簡単に行えます。

Legalscapeが気になる方は、以下からお試しください。

なお本記事は一般情報であり、特定の事案への法的助言ではありません。

参考1：個人情報の保護に関する法律についてのガイドライン（通則編）3-6-1 第三者提供の制限の原則（法第27条第1項関係） ｜個人情報保護委員会

参考2：個人情報の保護に関する法律についてのガイドライン（通則編） 2-17「提供」｜個人情報保護委員会

参考3：個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）2-2-1-1 「提供者」の考え方 ｜個人情報保護委員会

参考4：個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編） 2-2-1-2 「受領者」の考え方｜個人情報保護委員会