資格問題ドリル個人情報保護士 対策
ホーム個人情報保護士章別対策>第4
個人情報保護法・第4

第三者提供の制限の問題(16問)

論点 16目安 約32組合せ 16
この章を解く(16問)→

この章で扱う論点16論点

第三者提供の原則オプトアウトによる第三者提供第三者に該当しない場合外国にある第三者への提供第三者提供の制限と本人の関与第三者提供を受ける際の確認個人関連情報の第三者提供の制限第三者提供に係る記録の作成・保存仮名加工情報の第三者提供の制限匿名加工情報の提供時の公表・明示仮名加工情報・匿名加工情報の提供第三者提供の制限の例外共同利用と第三者該当性外国にある第三者への提供の例外オプトアウトの届出と委員会による公表第三者提供を受ける際の記録の作成

各選択肢に根拠条文(e-Gov法令データ照合済み)と、正誤の理由・覚え方のコツをつけています。

問題と解説を読む16

通読・復習用に、この章の全問題と解説を掲載しています。1問ずつ解きながら進めたい場合は「この章を解く」からどうぞ。

1第三者提供の原則(同意と例外)

個人データの第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、法令に基づく場合等を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
  • 法令に基づく場合は、本人の同意がなくても個人データを第三者に提供することができる。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
提供の同意原則(根拠:個人情報保護法第27条第1項
正しい
例外事由あり(根拠:個人情報保護法第27条第1項

原則(同意必要)と例外(同意不要の場合)をセットで理解しましょう。

個人データを第三者に渡すと本人の知らないところで情報が拡散しうるため、原則としてあらかじめ本人の同意が必要である(個人情報保護法27条1項)。ただし例外があり、(1) 法令に基づく場合、(2) 人の生命・身体・財産の保護に必要で同意が困難な場合、(3) 公衆衛生・児童の健全育成に特に必要で同意が困難な場合、(4) 国等への協力が必要な場合などは、本人の同意がなくても提供できる(同項各号)。原則と例外をセットで押さえる。

2オプトアウトによる第三者提供

オプトアウトによる第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、本人の求めに応じて提供を停止することとしている個人データについて、一定事項をあらかじめ本人に通知等し個人情報保護委員会に届け出たときは、本人の同意を得ずに第三者に提供することができる。
  • 要配慮個人情報であっても、オプトアウトの手続によれば本人の同意を得ずに第三者に提供することができる。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
本人の求めで停止(根拠:個人情報保護法第27条第2項
誤り
要配慮は除外(根拠:個人情報保護法第27条第2項

「オプトアウトなら何でも同意なく提供できる」と考えると、イで誤ります。

オプトアウトとは、本人の求めがあれば第三者提供を停止することを前提に、一定事項をあらかじめ本人に通知または容易に知り得る状態に置き、かつ個人情報保護委員会に届け出ることで、本人の個別同意なしに個人データを第三者提供できる仕組みである(個人情報保護法27条2項)。ただし、要配慮個人情報や、不正の手段で取得された個人データなどはオプトアウトの対象から除外され、提供には本人の同意が必要となる(同項ただし書)。便利な仕組みだが対象に限界がある点を押さえる。

3第三者に該当しない場合(委託・事業承継)

個人データの提供先が「第三者」に該当するかに関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人データの取扱いを委託することに伴って委託先に個人データを提供する場合、その委託先は常に「第三者」に該当し、提供には本人の同意が必要である。
  • 合併その他の事由による事業の承継に伴って個人データが提供される場合、その提供先は「第三者」に該当しない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
委託は第三者提供でない(根拠:個人情報保護法第27条第5項
正しい
承継は第三者提供でない(根拠:個人情報保護法第27条第5項第2号

「外部に渡せば必ず第三者提供」と考えると、アで誤ります。

第三者提供の制限は『第三者』への提供が前提だが、一定の場合には提供先が『第三者』に該当しないものとされる(個人情報保護法27条5項)。具体的には、(1) 利用目的の達成に必要な範囲内での委託に伴う提供、(2) 合併その他の事由による事業承継に伴う提供、(3) 一定の手続を満たした共同利用、である。これらは本人同意なく提供できるが、委託先には監督義務(25条)が、共同利用には通知等の要件が課されるなど、別の規律で本人保護が図られている。

4外国にある第三者への提供

外国にある第三者への個人データの提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、外国にある第三者に個人データを提供する場合は、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
  • 外国にある第三者への個人データの提供は、国内での第三者提供についての本人の同意があれば足り、外国への提供を認める旨の特別の同意は不要である。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
国内提供の同意では足りない(根拠:個人情報保護法第28条第1項
誤り
外国提供は特別の同意が必要(根拠:個人情報保護法第28条第1項

「第三者提供に同意していれば外国でも同じ」と考えると、イで誤ります。

外国は日本と個人情報の保護水準が異なる可能性があるため、外国にある第三者への個人データの提供には、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない(個人情報保護法28条1項)。国内の第三者提供についての同意があるだけでは足りない。なお、日本と同等水準と認められる国への提供や、基準に適合する体制を整備している提供先への提供は別途の扱いとなるが、原則は『外国提供を認める旨の同意』が要る点を押さえる。

5第三者提供の制限と本人の関与

第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人データを第三者に提供する場合、提供先が国内であれば、いかなる場合も本人の同意は不要である。
  • 第三者提供の制限に違反して提供されている保有個人データであっても、本人はその第三者への提供の停止を請求することはできない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:4(アー誤、イー誤)

誤り
国内でも同意原則(根拠:個人情報保護法第27条第1項
誤り
本人の関与手段あり(根拠:個人情報保護法第35条第3項

「国内なら自由」「本人は手出しできない」とどちらも思い込むと、両方で誤ります。

第三者提供の制限は、提供先が国内か外国かを問わず働く。国内の第三者提供でも、例外に当たらない限り、原則あらかじめ本人の同意が必要である(個人情報保護法27条1項)。そして、もし第三者提供の制限(27条1項)や外国提供の制限(28条)に違反して個人データが提供されているときは、本人は当該保有個人データの第三者への提供の停止を請求できる(同35条3項)。事業者の義務(提供制限)と本人の救済(提供停止請求)は表裏の関係にある。

6第三者提供を受ける際の確認

第三者からの個人データの提供を受ける際の確認に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、第三者から個人データの提供を受ける際、提供元の氏名等やその第三者による取得の経緯を確認する必要は一切ない。
  • 個人データの提供を受ける際の確認に関し、提供元の第三者は、その確認に係る事項を偽ってはならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
受領側の確認義務(根拠:個人情報保護法第30条第1項
正しい
提供側の禁止(根拠:個人情報保護法第30条第2項

提供を『受ける側』にも義務があります。

個人データの不正な流通を防ぐため、第三者から個人データの提供を受ける際にも義務が課される。個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、提供元の氏名・名称・住所等や、その第三者による取得の経緯を確認しなければならない(個人情報保護法30条1項)。また、確認を受ける提供元の第三者は、その確認に係る事項を偽ってはならない(同30条2項)。受領側は確認した事項について記録を作成・保存する義務も負う。提供する側だけでなく受け取る側にも義務がある点を押さえる。

7個人関連情報の第三者提供の制限

個人関連情報の第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合でも、本人の同意の確認をせずに自由に提供することができる。
  • 提供先が個人関連情報を個人データとして取得することが想定されるときは、提供元は、本人の同意が得られていること等を確認しなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
提供制限(根拠:個人情報保護法第31条第1項
正しい
同意の確認(根拠:個人情報保護法第31条第1項

Cookie等の提供にも一定のルールがあります。

個人関連情報(生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの。Cookieに紐づく閲覧履歴など)は単体では個人情報でないが、提供先で他の情報と照合して個人データとして取得されることがある。そこで、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、本人がそれを認める同意が得られていること等を確認しないで提供してはならない(個人情報保護法31条1項)。提供先での個人データ化を見越した規律である。

8第三者提供に係る記録の作成・保存

個人データの第三者提供に係る記録に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、個人データを第三者に提供したときは、一定の例外を除き、提供年月日や当該第三者の氏名等に関する記録を作成しなければならない。
  • 第三者提供に係る記録は、作成すれば足り、保存する必要はない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
トレーサビリティ(根拠:個人情報保護法第29条第1項
誤り
保存義務(根拠:個人情報保護法第29条第2項

記録は『作って終わり』ではありません。

個人データの不正な流通を事後的に追跡できるようにするため、個人情報取扱事業者は、個人データを第三者に提供したときは、一定の例外(法令に基づく場合等)を除き、提供年月日や当該第三者の氏名等に関する記録を作成しなければならない(個人情報保護法29条1項)。さらに、作成した記録は、作成した日から規則で定める期間保存しなければならない(同29条2項)。提供を受ける側の確認・記録義務(30条)と対になる、提供側のトレーサビリティ確保の仕組みである。

9仮名加工情報の第三者提供の制限

仮名加工情報の第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く)を第三者に提供してはならない。
  • 仮名加工情報は、本人の同意を得れば自由に第三者に提供することができる。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
提供制限(根拠:個人情報保護法第42条第1項
誤り
原則提供禁止(根拠:個人情報保護法第42条第1項

仮名加工情報は『内部分析用』で、外には出しにくい情報です。

仮名加工情報は、他の情報と照合しない限り個人を識別できないように加工した情報で、主に事業者内部での分析・利活用を想定している。そのため、仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く)を第三者に提供してはならない(個人情報保護法42条1項)。通常の個人データのように本人の同意やオプトアウトで第三者提供する仕組みは予定されていない点が特徴である。

10匿名加工情報の提供時の公表・明示

匿名加工情報を第三者に提供する場合に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 匿名加工情報を第三者に提供するときは、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければならない。
  • 匿名加工情報を第三者に提供するときは、当該第三者に対して、その情報が匿名加工情報である旨を明示しなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
公表義務(根拠:個人情報保護法第44条
正しい
明示義務(根拠:個人情報保護法第44条

匿名加工情報は本人同意なく提供できますが、手続が要ります。

匿名加工情報は、特定の個人を識別できず復元もできないように加工した情報で、本人の同意なく第三者に提供できる。ただし、適正な取扱いを確保するため手続が課される。匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、あらかじめ、提供される情報の項目とその提供の方法を公表するとともに、提供先に対して、当該情報が匿名加工情報である旨を明示しなければならない(個人情報保護法44条)。受け取った側にも識別行為の禁止などの義務が及ぶことを前提にした手続である。

11仮名加工情報・匿名加工情報の提供(総合)

加工情報の第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 仮名加工情報(個人情報であるものを除く)は、本人の同意を得れば、自由に第三者に提供することができる。
  • 匿名加工情報を作成して第三者に提供する場合、提供先にその情報が匿名加工情報である旨を明示する必要はない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:4(アー誤、イー誤)

誤り
提供制限(根拠:個人情報保護法第42条第1項
誤り
明示義務(根拠:個人情報保護法第44条

仮名と匿名で、第三者提供の扱いが違います。

仮名加工情報と匿名加工情報は、第三者提供の扱いが異なる。仮名加工情報(個人情報であるものを除く)は、法令に基づく場合を除き第三者に提供できない(個人情報保護法42条1項。主に内部利活用向け)。これに対し匿名加工情報は本人同意なく第三者提供できるが、提供する情報の項目・方法の公表と、提供先への『匿名加工情報である旨』の明示が必要である(同44条)。仮名=原則提供不可、匿名=手続を踏めば提供可、という違いを押さえる。

12第三者提供の制限の例外

個人データの第三者提供の例外に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 法令に基づく場合であっても、個人データの第三者提供には常に本人の同意が必要である。
  • 人の生命、身体又は財産の保護のために必要がある場合であって本人の同意を得ることが困難であるときは、本人の同意なく個人データを第三者に提供できる。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
例外事由(根拠:個人情報保護法第27条第1項
正しい
例外事由(根拠:個人情報保護法第27条第1項第2号

第三者提供にも、同意なくできる例外があります。

個人データの第三者提供は原則として本人の同意を要するが、例外がある(個人情報保護法27条1項各号)。(1) 法令に基づく場合、(2) 人の生命・身体・財産の保護に必要で同意困難な場合、(3) 公衆衛生・児童育成に特に必要で同意困難な場合、(4) 国等への協力が必要な場合などである。利用目的による制限の例外(18条3項)と同様の構造で、公益性の高い場面では同意なく提供できる。

13共同利用と第三者該当性

個人データの共同利用に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合で、共同利用する旨等をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、その提供先は第三者に該当しない。
  • 共同利用の場合、共同して利用する旨等を本人に通知等しなくても、当然に提供先は第三者に該当しない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
共同利用(根拠:個人情報保護法第27条第5項
誤り
通知等が要件(根拠:個人情報保護法第27条第5項第3号

共同利用には『あらかじめ本人に知らせる』手続が必要です。

委託・事業承継と並び、共同利用に伴う提供先も『第三者』に該当しない(個人情報保護法27条5項3号)。ただし共同利用には要件があり、共同して利用する旨、共同利用される個人データの項目、共同利用する者の範囲、利用目的、管理責任者の氏名等を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いていることが必要である。これらの手続を欠けば第三者非該当とはならず、本人同意が必要になる。

14外国にある第三者への提供の例外

外国にある第三者への個人データの提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるものにある第三者への提供であっても、必ず外国提供を認める旨の本人の同意が必要である。
  • 外国にある第三者に個人データを提供する場合は、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
同等水準国(根拠:個人情報保護法第28条第1項
正しい
越境移転(根拠:個人情報保護法第28条第1項

外国でも、同等水準の国なら特別の同意は要りません。

外国にある第三者への個人データの提供には、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意が必要である(個人情報保護法28条1項)。ただし、我が国と同等の水準にあると認められる個人情報保護制度を有する国(規則で定めるもの)にある者や、基準に適合する体制を整備している者は、この『外国にある第三者』から除かれ、特別の同意は不要となる(同項かっこ書)。原則と例外を押さえる。

15オプトアウトの届出と委員会による公表

オプトアウトによる第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報保護委員会は、オプトアウトによる第三者提供の届出があったときは、その届出に係る事項を公表しなければならない。
  • オプトアウトによる第三者提供をする事業者は、一定事項をあらかじめ本人に通知等するとともに、個人情報保護委員会に届け出る必要がある。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
委員会の公表(根拠:個人情報保護法第27条第4項
正しい
届出(根拠:個人情報保護法第27条第2項

オプトアウトは委員会への届出と公表でチェックされます。

オプトアウトによる第三者提供をする事業者は、提供する個人データの項目や提供方法等の一定事項を、あらかじめ本人に通知し又は容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない(個人情報保護法27条2項)。そして、委員会は、その届出があったときは、届出に係る事項を公表しなければならない(同条4項)。届出と公表により、どの事業者がどのようなオプトアウトを行っているかを社会的にチェックできるようにしている。

16第三者提供を受ける際の記録の作成

第三者提供を受ける際の確認・記録に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 第三者から個人データの提供を受ける際に確認を行った個人情報取扱事業者は、提供を受けた年月日や確認に係る事項等に関する記録を作成しなければならない。
  • 第三者提供を受ける際の確認を行った場合であっても、記録を作成する義務はない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
受領側の記録(根拠:個人情報保護法第30条第3項
誤り
記録義務(根拠:個人情報保護法第30条第3項

提供を『受ける側』も記録を作って残します。

第三者から個人データの提供を受ける際の確認(個人情報保護法30条1項)を行った個人情報取扱事業者は、当該個人データの提供を受けた年月日、確認に係る事項その他の規則で定める事項に関する記録を作成しなければならない(同条3項)。作成した記録は一定期間保存する(同条4項)。提供する側の記録作成・保存義務(29条)と対になる、トレーサビリティ確保の仕組みである。