1 個人データ、つまりデータベース化されている個人情報を第三者に提供する場合は、原則として、本人の同意を得る必要があります(個人情報保護法27条1項)。

 同一事業者内の他部門に個人データを提供する場合は、「第三者」への提供には該当しませんが、親子会社やグループ会社間で個人データを提供する場合は、別の法人格への提供であり、「第三者」への提供に該当しますので、原則として同意が必要となります。

 本人の同意を得る方法については、個人情報保護法上、特段限定はされていないため、口頭による同意を得ることも可能ですが、紛争防止の観点からすると、書面や電子メールを受領する方法や、ウェブサイト上で確認ボタンをクリックしてもらう方法等、証拠に残る形で同意を得ておくべきです。

 また、この本人の同意は、第三者に対して個人データを提供する前に得ておく必要がありますが、個人情報を取得する際に、同時に、第三者提供することについての同意を得ることも可能です。また、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。

 個人情報保護法上、本人から第三者提供の同意を得るにあたり、提供先を個別に明示することまでは求められていません。ただし、ガイドライン上は、想定される提供先の範囲や属性を示すことが望ましいとされています。

2 このように、個人データを第三者に提供する場合は、原則として本人の同意を得る必要がありますが、一定の場合には、例外的に、第三者提供に際して本人の同意が不要とされています。例えば、以下のような場合は、本人の同意が不要とされます。

・法令に基づく場合(個人情報保護法27条1項1号)

 警察や検察等の捜査機関からの照会を受けた場合

 検察官や裁判官から裁判の執行に関する照会を受けた場合

 株主から株主名簿の閲覧を求められた場合 など

・人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合(同条1項2号)

 製品の不具合が重大な事故を引き起こす危険性がある場合で、購入者に緊急に連絡を取る必要があるが、購入者が膨大で、購入者全員から同意を得るための時間的余裕もないときに、販売会社から製造会社に対して購入者の情報を提供する場合 など

・委託先への提供の場合(同条5項1号)

 ダイレクトメールの発送業務を業者に委託する場合に、ダイレクトメールの送付先である顧客の氏名や住所等の情報を当該業者に提供する場合 など

3 個人データを第三者に提供した場合は、原則として、「誰の、どのような情報を、誰に対して」提供したのかという点について、記録を作成する必要があり、記録の保存期間は、原則として3年(記録の作成方法によっては1年の場合もあります。)とされています。