BUSINESS_LAWYERS_投影資料.pdf

##いまさら聞けない法務の基本いまさら聞けない法務の基本「個人情報保護法」 2026.4.3 於 BUSINESS LAWYERS

##いまさら聞けない法務の基本「インターネット企業」と「法律事務所LEACT」で兼業をしています 2 世古修平（せこしゅうへい） ◼ インターネット企業（インハウス・正社員） ◼
法律事務所LEACT（弁護士 66期） ◼ IPA 独立行政法人情報処理推進機構（試験委員） ◼ 経済産業省（電子商取引及び情報財取引等に関する準則研究会委員）

##いまさら聞けない法務の基本【@ インターネット企業】法務部門ではなく、プライバシー部門でインハウスとして働いています 3 投影のみ

##いまさら聞けない法務の基本【@ 法律事務所LEACT】企業の法務部と、事務所の弁護士の先生方にサービスを提供しています 4 法務部向けサービス弁護士向けサービス出所：https://www.leact.law/

##いまさら聞けない法務の基本感想はぜひ、随時X（旧Twitter）でハッシュタグを付けて教えてください 5 #いまさら聞けない法務の基本

##いまさら聞けない法務の基本本日のお品書き ◼ 用語の確認 ◼ いまさら聞けない「個人情報保護法」の基本 ◼ 法改正動向の分析 6

##いまさら聞けない法務の基本本日のお品書き ◼ 用語の確認 ➢ 個人情報 ➢ 個人データ ➢ 保有個人データ
➢ 要配慮個人情報 ◼ いまさら聞けない「個人情報保護法」の基本 ◼ 法改正動向の分析 10

##いまさら聞けない法務の基本法律は、個人情報について階層的に定義を置いています 12 個人情報個人データ保有個人データ個人情報個人データ保有個人データ
要配慮個人情報

##いまさら聞けない法務の基本まずは一番外側の、個人情報の定義について説明していきます 13 13 個人情報個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本日常用語と法律用語で「個人情報」の定義には乖離があります 14 法律用語での「個人情報」個人情報個人データ保有個人データ要配慮個人情報日常用語での
「個人情報」

##いまさら聞けない法務の基本条文を読んでみましょう 15 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの個人情報
個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本 16 まずは「生存する個人に関する情報」であることが個人情報の要件です第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの個人情報

##いまさら聞けない法務の基本 17 この点について、ガイドラインの解説を読んでみると… 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限
られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント① 個人情報個人データ保有個人データ要配慮個人情報

られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント② 個人情報個人データ保有個人データ要配慮個人情報

られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント③ 個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本 20 このように、生存する個人に関する情報は非常に範囲が広いです第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ
推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本 21 日常用語では、基本4情報だけを個人情報と呼んだりもしますが第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ

##いまさら聞けない法務の基本 22 法律上はこれら全てが個人情報になり得ます第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 23 その上で、条文は個人情報に「次の各号」への該当性を求めています個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 24 つまり、ここの条件を満たした上で個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 25 かつ、かつ
個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 26 こちらも同時に満たしたものが、法律上の「個人情報」になるわけですかつ
個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 27 一号と二号がありますが、今日は一号について掘り下げて説明します個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 28 一号は、個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 29 本文部分（一行目）と個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 30 かっこがき部分（二行目）に分かれます個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 31 まずは一号の本文部分から読んでいきましょう個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 32 個人情報個人データ
保有個人データ要配慮個人情報具体のイメージを持ってもらうため、実際の申し込みフォームで見てみます

##いまさら聞けない法務の基本 33 出所：https://www.businesslawyers.jp/seminars/553 今回、皆さんはこんなページからお申し込みをいただいたと思うので

##いまさら聞けない法務の基本 34 こちらのフォームを例に取って説明してみます

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 35 前提として、これらの項目は全て「生存する個人に関する情報」ですよね

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 36 その上で、これらの情報が一号本文「にも」該当するかを検討します

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 37 この時、どうしても「氏名」に注目してしまいがちなのですが氏名

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 38 条文には、「もの」全体が個人情報に該当すると書いてありますもの

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 39 むしろ「氏名、生年月日その他の」を消す方が読みやすいかもしれませんもの

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 40 つまり、この「氏名」の部分が個人情報なのではなく氏名

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 41 「もの」全体が個人情報に該当すると読まなければいけない訳ですもの

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 42 その結果、「もの」に含まれるのであれば構成要素も個人情報に該当します法務歴
職種

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 43 【中間まとめ】氏名、生年月日と同じまとまりの中にある情報は個人情報に該当します
アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 44 続いて、一号のかっこがきを読んでいきましょう個人情報

##いまさら聞けない法務の基本ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報
00001 00002 ユーザー登録情報利用履歴情報 45 ここで「ユーザー登録情報」と「利用履歴情報」のテーブルを想定します個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##いまさら聞けない法務の基本ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報 46 ユーザー登録情報は氏名を含み、先ほどの説明の通り全体が個人情報ですが
アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##いまさら聞けない法務の基本ユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 47 利用履歴情報のテーブルには、氏名が含まれていないのが注目ポイントですアクセスログ
推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##いまさら聞けない法務の基本ユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 48 ここで、利用履歴情報は「個人情報」になるのでしょうか？アクセスログ
推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 49 かっこがきは、「容易に照合」できるものは個人情報に含むといっています個人情報個人データ保有個人データ要配慮個人情報

00001 00002 ユーザー登録情報利用履歴情報 50 企業は一般に、データを活用する上でユーザーに対してIDを割り振りますが個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

00001 00002 ユーザー登録情報利用履歴情報 51 ユーザーIDはテーブル間での照合を容易にする機能を果たしていますユーザーIDで容易に照合個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

00001 00002 ユーザー登録情報利用履歴情報 52 そのため、「ユーザー登録情報」が個人情報であることは当然の前提としてこちらだけでなく個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

00001 00002 ユーザー登録情報利用履歴情報 53 「利用履歴情報」も、かっこがきにより個人情報に該当することになりますこちらも個人情報個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##いまさら聞けない法務の基本ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報 54 ユーザーIDに紐づく個人に関する情報は、基本的に全て個人情報です
個人情報個人データ保有個人データ要配慮個人情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##いまさら聞けない法務の基本続いて、個人情報の一部である「個人データ」について説明します 56 56 個人情報個人データ保有個人データ個人情報個人データ
保有個人データ要配慮個人情報

##いまさら聞けない法務の基本こちらも、少し読みにくいので条文を間引いてみます 57 第十六条（略）「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。一特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（略）
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本この区別を知っていると何が嬉しいの？ 61 個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本続いて、個人データの一部である「保有個人データ」について説明します 63 63 個人情報個人データ保有個人データ個人情報個人データ

##いまさら聞けない法務の基本こちらも、少し読みにくいので条文を間引いてみます 64 第十六条４この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。個人情報個人データ

##いまさら聞けない法務の基本こちらも、少し読みにくいので条文を間引いてみます 65 第十六条４この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。個人情報個人データ

##いまさら聞けない法務の基本自社が、開示や内容の訂正等の権限を持っている個人データをいいます 66 第十六条４この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。個人情報個人データ

##いまさら聞けない法務の基本保有個人データ該当性は、開示請求等への対応要否で問題になります 67 第三十三条１本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。個人情報個人データ保有個人データ

##いまさら聞けない法務の基本保有個人データの定義は広く、全開示請求はなかなか辛いものがあります 68 個人情報個人データ保有個人データ要配慮個人情報

##いまさら聞けない法務の基本個人情報個人データ保有個人データ要配慮個人情報は、先ほどの3つの定義とは別の次元の用語です 73 個人情報個人データ保有個人データ

##いまさら聞けない法務の基本個人情報個人データ保有個人データ要配慮個人情報は、先ほどの3つの定義とは別の次元の用語です 74 要配慮個人情報個人情報

##いまさら聞けない法務の基本こちらも要配慮個人情報の定義の条文ですが、少し間引いてみると第二条 3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。個人情報個人データ保有個人データ
要配慮個人情報 75

##いまさら聞けない法務の基本不当な差別、偏見の恐れ等がありリスクが高い情報を指すことがわかります第二条 3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。個人情報個人データ保有個人データ

##いまさら聞けない法務の基本具体的に何が「要配慮個人情報」に該当するかは政令含めて定義されており第二条 3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。個人情報個人データ保有個人データ

##いまさら聞けない法務の基本全量をお見せするとこんな感じですが… （1）人種（2）信条（3）社会的身分（4）病歴（5）犯罪の経歴（6）犯罪により害を被った事実（7）身体障害、知的障害、精神障害（発達障害を含む。）その他の個人情報保護委員会規則で定める心身の機能の障害があること（政令第2条第1号関係）
（8）本人に対して医師その他医療に関連する職務に従事する者（次号において「医師等」という。）により行われた疾病の予防及び早期発見のための健康診断その他の検査（同号において「健康診断等」という。）の結果（政令第2条第2号関係）（9）健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと（政令第2条第3号関係）（10）本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと（犯罪の経歴を除く。）（政令第2条第4号関係）（11）本人を少年法（昭和23年法律第168号）第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと（政令第2条第5号関係）個人情報個人データ保有個人データ要配慮個人情報 78 ガイドライン通則編 2-3 要配慮個人情報（法第2条第3項関係）

##いまさら聞けない法務の基本最近の事例で言えば、医療・介護系のサービス・プロダクトと（1）人種（2）信条（3）社会的身分（4）病歴（5）犯罪の経歴（6）犯罪により害を被った事実（7）身体障害、知的障害、精神障害（発達障害を含む。）その他の個人情報保護委員会規則で定める心身の機能の障害があること（政令第2条第1号関係）

##いまさら聞けない法務の基本報道系の公開情報をクローリングしてくるようなプロダクトは要注意です（1）人種（2）信条（3）社会的身分（4）病歴（5）犯罪の経歴（6）犯罪により害を被った事実（7）身体障害、知的障害、精神障害（発達障害を含む。）その他の個人情報保護委員会規則で定める心身の機能の障害があること（政令第2条第1号関係）

##いまさら聞けない法務の基本なお、推知情報は「要配慮個人情報」には含まれないとされていますが… なお、次に掲げる情報を推知させる情報にすぎないもの（例：宗教に関する書籍の購買や貸出しに係る情報等）は、要配慮個人情報には含まない。個人情報個人データ保有個人データ要配慮個人情報 81 ガイドライン通則編
2-3 要配慮個人情報（法第2条第3項関係）

##いまさら聞けない法務の基本基準が明確ではないこともあり、推知情報への該当性判断は結構難しいです（1）人種（2）信条（3）社会的身分（4）病歴（5）犯罪の経歴（6）犯罪により害を被った事実（7）身体障害、知的障害、精神障害（発達障害を含む。）その他の個人情報保護委員会規則で定める心身の機能の障害があること（政令第2条第1号関係）

##いまさら聞けない法務の基本本日のお品書き ◼ 用語の確認 ◼ いまさら聞けない「個人情報保護法」の基本 ➢ データライフサイクルとは ➢ 取得についてのルール
➢ 利用についてのルール ➢ 安全管理についてのルール ➢ 提供についてのルール ➢ 消去についてのルール ◼ 法改正動向の分析 84

##いまさら聞けない法務の基本ボトムアップで詰め込むと、知識が溢れてしまって理解が難しいと思います 85

##いまさら聞けない法務の基本まず最初に、これらの知識を整理していくための枠組みをお伝えします 86

##いまさら聞けない法務の基本データライフサイクルとは取得〜消去までの一連のデータの流れのことです 88 取得利用安全管理提供消去

##いまさら聞けない法務の基本日本の個人情報保護法のガイドラインの構成を見てみると、 89 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

##いまさら聞けない法務の基本ライフサイクルごとに規制が設けられていることがわかります 90 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 利用取得安全管理・消去提供

##いまさら聞けない法務の基本この流れに沿って、個人情報保護法の規制を説明していきます 91 取得利用安全管理提供消去

##いまさら聞けない法務の基本そもそも個人情報保護法にいう「取得」とは何を指すのでしょうか？ 93 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本実は個人情報保護法上、「取得」は定義されていません 94 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本そのため、「取得」の定義は解釈から導かなければならないわけです 95 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本この点、ガイドラインでは公開情報の単なる閲覧は取得ではないとしており 96 個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報を取得しているとは解されない。出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 取得とは取得ルート同意の要否ガイドライン通則編
3-3 個人情報の取得（法第20条・第21条関係）

##いまさら聞けない法務の基本一方、転記やダウンロードを伴う場合は、 97 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q4-4 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本「取得」に該当し得ると判断されています 98 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q4-4 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本また、郵便物の誤配のケースにおいて「受ける」行為に言及されています 99 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q4-8 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本取得とは、事業者が情報を“受ける”行為と考えておくのが良さそうです 102 取得とは取得ルート同意の要否

##いまさら聞けない法務の基本取得とは、事業者が情報を“受ける”行為と考えておくのが良さそうです 103 取得とは取得ルート同意の要否 ≒ 事実上の支配に至ること

##いまさら聞けない法務の基本次に、個人情報の取得ルート（＝”受ける”ルート）を考えてみましょう取得とは取得ルート同意の要否 104

##いまさら聞けない法務の基本まず最初に思いつくのは、本人から直接個人情報を取得をするルートです本人取得とは取得ルート同意の要否直接取得 105

##いまさら聞けない法務の基本フォームなどを用意して、記入された情報を直接取得することがあります取得とは取得ルート同意の要否 106 出所：https://www.businesslawyers.jp/seminars

##いまさら聞けない法務の基本次に、第三者から個人情報を取得するルートもあり得ます第三者取得とは取得ルート同意の要否第三者提供公開情報の取得取得の委託 107

##いまさら聞けない法務の基本これは後ほど、「提供についてのルール」の所で詳しく説明します取得とは取得ルート同意の要否 111

##いまさら聞けない法務の基本また、見落としがちですが自社で情報を付与することもあり得ますよね社内分析取得とは取得ルート同意の要否ログ取得なお、個人情報保護委員会は、自社で新たに個人情報を生成する行為は「取得」には該当しないと考えているようではある。 112

##いまさら聞けない法務の基本このように、取得には大きく3つのルートがあることを理解しましょう取得とは取得ルート同意の要否 115 ①本人 ②第三者 ③自社

##いまさら聞けない法務の基本ではここでクイズです、個人情報の取得に「同意」は必要でしょうか？取得とは取得ルート同意の要否 116

##いまさら聞けない法務の基本よく誤解されるのですが、原則として取得に同意は不要です取得とは取得ルート同意の要否 117

##いまさら聞けない法務の基本誤解の原因は、こういう登録フォームを日々目にしているからだと思います取得とは取得ルート同意の要否 118 出所：https://www.businesslawyers.jp/seminars

##いまさら聞けない法務の基本例外的に、要配慮個人情報の取得の場合には同意が必要なので注意です取得とは取得ルート同意の要否（適正な取得）第二十条２個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
119

##いまさら聞けない法務の基本「取得」した個人情報を「利用」するには利用目的を特定する必要があり（利用目的の特定）第十七条個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。プラポリ直接取得間接取得 121

##いまさら聞けない法務の基本「特定」した利用目的は、本人の知り得る状態に置く必要があります（保有個人データに関する事項の公表等）第三十二条個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。一当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名二全ての保有個人データの利用目的（第二十一条第四項第一号から第三号までに該当する場合を除く。）
プラポリ直接取得間接取得 125

##いまさら聞けない法務の基本多くの企業は「プライバシーポリシー」で、利用目的を公表しています 128 プラポリ直接取得間接取得

##いまさら聞けない法務の基本この利用目的の書き方も、企業によっていくつか特色があって 129 プラポリ直接取得間接取得

##いまさら聞けない法務の基本比較的メジャーな、具体的な利用目的をボトムアップで記載するやり方と 130 当社が取得した個人情報は以下の目的のために利用いたします。 A) ご登録またはお申し込みいただいたサービス等の提供 B) サービスの提供や商品の送付などを行う上で必要な情報確認 C) サービスについての調査・データ集積、研究開発
D) 当社がおすすめする商品・サービスなどのご案内を送信・送付 E) お問い合わせ・ご相談への対応 F) 契約の履行 G) お客様との商談、打合せ等 H) その他上記AからGに付随する目的のためプラポリ直接取得間接取得

##いまさら聞けない法務の基本分類を書いた上で具体例を列挙する、トップダウンの記載方法があります 134 当社は、以下の目的で取得した個人情報を利用します。 ◼ 当社サービスの提供・維持 ◼ 当社サービスの開発・改善 ◼ 不正利用の防止・対応
これらの具体例には以下のようなものがあります。 ◼ 当社サービスの提供・維持の具体例 ➢ XXX ➢ XXX ◼ 当社サービスの開発・改善の具体例 ➢ XXX ➢ XXX ◼ 不正利用の防止・対応の具体例 ➢ XXX ➢ XXX プラポリ直接取得間接取得

##いまさら聞けない法務の基本個人的には、メンテナンスのしやすさからトップダウンが好みではあります 138 プラポリ直接取得間接取得

##いまさら聞けない法務の基本先ほど「取得」には色々なルートがあることをお話ししましたプラポリ直接取得間接取得 139

##いまさら聞けない法務の基本法律は、この「取得ルート」に応じて異なる規制を定めていますプラポリ直接取得間接取得（取得に際しての利用目的の通知等）第二十一条個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。２
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 140

##いまさら聞けない法務の基本書面やフォームで直接本人から個人情報を取得する場合、 141 プラポリ直接取得間接取得 ①本人

##いまさら聞けない法務の基本取得に際して利用目的を明示することが求められていますプラポリ直接取得間接取得（取得に際しての利用目的の通知等）第二十一条個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。２

##いまさら聞けない法務の基本よく見るのは、利用目的が書かれたプラポリのリンクを貼る方法ですプラポリ直接取得間接取得 144 出所：https://www.businesslawyers.jp/seminars

##いまさら聞けない法務の基本続いては、第三者提供や自社での情報の付与による「間接取得」の場合です 145 プラポリ直接取得間接取得 ②第三者 ③自社

##いまさら聞けない法務の基本この場合、利用目的を公表しなければいけませんプラポリ直接取得間接取得（取得に際しての利用目的の通知等）第二十一条個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。２

##いまさら聞けない法務の基本よく見るのは、利用目的が書かれたプラポリをフッターで公表する方法です 147 プラポリ直接取得間接取得出所：https://www.businesslawyers.jp/

##いまさら聞けない法務の基本個人情報法上、安全管理措置については3つの条文が存在します 149 安全管理措置構ずべき内容漏えい等（安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
（従業者の監督）第二十四条個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。（委託先の監督）第二十五条個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

##いまさら聞けない法務の基本個人情報法上、安全管理措置については3つの条文が存在します 150 安全管理措置構ずべき内容漏えい等（安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

##いまさら聞けない法務の基本総論の23条と、そこに含まれる各論の24,25条という位置付けです 151 安全管理措置構ずべき内容漏えい等安全管理措置（23条）従業者の監督（24条）委託先の監督（25条）

##いまさら聞けない法務の基本総論の23条と、そこに含まれる各論の24,25条という位置付けです 152 安全管理措置構ずべき内容漏えい等安全管理措置（23条）従業者の監督（24条）委託先の監督（25条）

##いまさら聞けない法務の基本「安全管理のために必要かつ適切な措置」についての23条と 153 安全管理措置構ずべき内容漏えい等（安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

##いまさら聞けない法務の基本「従業者に対する必要かつ適切な監督」を定める24条 154 安全管理措置構ずべき内容漏えい等（安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

##いまさら聞けない法務の基本「委託を受けた者に対する必要かつ適切な監督」の25条が定められています 155 安全管理措置構ずべき内容漏えい等（安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

##いまさら聞けない法務の基本何度も出てくる「必要かつ適切」って何だ？というのが気になりますよね 156 安全管理措置構ずべき内容漏えい等（安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

##いまさら聞けない法務の基本個人情報保護法は、リスクベースアプローチを採用しています 157 安全管理措置構ずべき内容漏えい等当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。ガイドライン通則編
3-4-2 安全管理措置（法第23条関係）

##いまさら聞けない法務の基本個人情報保護法は、リスクベースアプローチを採用しています 160 安全管理措置構ずべき内容漏えい等ルールベースアプローチ当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
ガイドライン通則編 3-4-2 安全管理措置（法第23条関係）

##いまさら聞けない法務の基本個人情報保護法は、リスクベースアプローチを採用しています 161 安全管理措置構ずべき内容漏えい等ルールベースアプローチリスクベースアプローチ当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等
に起因するリスクに応じて、必要かつ適切な内容としなければならない。ガイドライン通則編 3-4-2 安全管理措置（法第23条関係）

##いまさら聞けない法務の基本ガイドラインが、「講ずべき内容」についての手法を例示してくれています 162 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本ガイドラインが、「講ずべき内容」についての手法を例示してくれています 163 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本例示されている安全管理措置の内容は大きく7つに分類されています 164 講ずべき安全管理措置詳細 1 基本方針の策定個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。 2
規律の整備個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。 3 組織的安全管理措置個人情報取扱事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。 4 人的安全管理措置個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。 5 物理的安全管理措置個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。 6 技術的安全管理措置個人情報取扱事業者は、情報システム（パソコン等の機器を含む。）を使用して個人データを取り扱う場合（インターネット等を通じて外部と送受信等する場合を含む。）、技術的安全管理措置として、次に掲げる措置を講じなければならない。 7 外的環境の把握個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本まず、基本方針の策定が求められています 165 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本まず、基本方針の策定が求められています 166 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本 2つ目に、個人データに関する規律の整備が求められています 167 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本 2つ目に、個人データに関する規律の整備が求められています 168 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本組織的安全管理措置は、全部で5つの項目が列挙されていています 169 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本続いて、人的安全管理措置としては「従業員の教育」が挙げられています 176 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本続いて、人的安全管理措置としては「従業員の教育」が挙げられています 177 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本物理的安全管理措置は、4つの項目が挙げられています 178 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本物理的安全管理措置は、4つの項目が挙げられています 179 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本技術的安全管理措置も、同じく4項目挙げられています 180 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本技術的安全管理措置も、同じく4項目挙げられています 181 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本最後の項目、外的環境の把握は他の項目に比べて抽象度が高いです 182 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本そもそも、安全管理措置はなぜ必要かというと… 185 （安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本「データの漏えい、滅失又は毀損の防止」のために必要なのでした 186 （安全管理措置）第二十三条個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本「漏えい」の定義は結構シンプルです 187 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本例えばこんなケースは「漏えい」に該当するでしょうか設定ミスにより、ユーザーの情報が意図せず公開され、 Googleにクローリングされて検索可能な状態になってしまったが、それ以上のアクセスは確認されていない 188 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本これは漏えいに該当します 189 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本先ほどの「ユーザー登録情報」と「利用履歴情報」を思い出してくださいユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス
利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報 190 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本ここで「ユーザー登録情報」のテーブルが被害にあった場合… ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報 191
安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本個人データの「漏えい」に該当するという結論に違和感はないと思いますユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報 192
安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本それでは、「利用履歴情報」が被害にあった場合はどうでしょうか？ユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 193 安全管理措置
構ずべき内容漏えい等

##いまさら聞けない法務の基本ここについては、個人情報保護委員会から答えが出ていますユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 ”対象となった情報が個人データに該当するかどうかは、当該個人データを漏えい等した個人情報取扱事業者を基
準に考えることになります。” 出所：「個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示案」に関する意見募集結果（ https://public-comment.e- gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 ） 194 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本つまり、「漏えい先」にとってその情報が個人データか否かは関係なくユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 195 安全管理措置

##いまさら聞けない法務の基本「漏えい元」が個人データとして管理するデータが漏れたら漏えいなのですユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報ユーザーID 氏名
電話番号メールアドレス 00001 00002 ユーザー登録情報 196 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本よって、「利用履歴情報」が単独で被害にあった場合も漏えいに該当しますユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 197 安全管理措置

##いまさら聞けない法務の基本漏えいは、「おそれ」があれば個人情報保護委員会への報告が必要です 198 安全管理措置構ずべき内容漏えい等出所： https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-3-1

##いまさら聞けない法務の基本この「おそれ」は、中身があるようでない定義にいつも悩まされます 199 安全管理措置構ずべき内容漏えい等出所： https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-3-1

##いまさら聞けない法務の基本ここでは「蓋然性」の有無を問題にしていることに着目しましょう 202 安全管理措置構ずべき内容漏えい等出所： https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-3-1

##いまさら聞けない法務の基本蓋然性という言葉、皆さん聞き馴染みはありますか？ 203 安全管理措置構ずべき内容漏えい等がいぜん‐せい【蓋然性】ある事柄が起こる確実性や、ある事柄が真実として認められる確実性の度合い。確からしさ。これを数量化したものが確率。「―の乏しい推測」引用：『デジタル大辞泉』（小学館）

##いまさら聞けない法務の基本ある事柄が真実として認められる確実性の度合い、確からしさを言います 204 安全管理措置構ずべき内容漏えい等がいぜん‐せい【蓋然性】ある事柄が起こる確実性や、ある事柄が真実として認められる確実性の度合い。確からしさ。これを数量化したものが確率。「―の乏しい推測」引用：『デジタル大辞泉』（小学館）

##いまさら聞けない法務の基本頭の中に、「可能性」と「蓋然性」のメーターを用意してみてください 205 安全管理措置構ずべき内容漏えい等可能性：なし蓋然性：なし

##いまさら聞けない法務の基本「可能性」が0%なのであれば、当然「可能性」も「蓋然性」もありません 206 安全管理措置構ずべき内容漏えい等可能性：なし蓋然性：なし

##いまさら聞けない法務の基本次に「可能性」はあるが「蓋然性」があるとは言えない状態が出てきます 207 安全管理措置構ずべき内容漏えい等可能性：なし蓋然性：なし可能性：あり蓋然性：なし

##いまさら聞けない法務の基本さらに続けると、「可能性」もあるし「蓋然性」もある状態が出てきます 208 安全管理措置構ずべき内容漏えい等可能性：なし蓋然性：なし可能性：あり蓋然性：なし
可能性：あり蓋然性：あり

##いまさら聞けない法務の基本おそれがないと言いたい場合、「可能性」が0%である必要はありません 209 安全管理措置構ずべき内容漏えい等可能性：なし蓋然性：なし

##いまさら聞けない法務の基本あくまで「蓋然性」がないと言える状態を目指しましょう 210 安全管理措置構ずべき内容漏えい等可能性：なし蓋然性：なし可能性：あり蓋然性：なし
可能性：あり蓋然性：あり

##いまさら聞けない法務の基本 PPCと交渉する上では、技術系コンサル企業のレポート等も結構役立ちます 211 安全管理措置構ずべき内容漏えい等

##いまさら聞けない法務の基本データは自社内で完結することが減り、社外に連携することが増えました 213 出所：https://corp.freee.co.jp/news/0717bundle_by_freee.html 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本この際、社外に個人データを「提供」するには法的な根拠が必要になります 214 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本なお先ほどの「漏えい元基準」と同じく「提供元基準」が採用されていますユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報 215 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本つまり、氏名自体をSaaSに入れないとしてもユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらだけでなく 216 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本自社にとって個人データであれば、提供には法的根拠が必要ということですユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらも個人データ 217 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本この「提供」の段階で選択しうる法的根拠は、主として3つあります 218 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本第三者提供は、提供先にデータをあげてしまうことです 219 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本委託は、自社の責任の下で提供先にデータを預けることです 224 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本委託は、自社の責任の下で提供先にデータを預けることです 229 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得
自社プラポリ監督義務第三者提供委託クラウド例外共同利用 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る同意取得同意取得自社プラポリ自社プラポリ監督義務監督義務

##いまさら聞けない法務の基本ここでいう個人データの取扱いの「委託」は、個人情報保護法独自の概念なので 230 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本 SaaS利用契約など、民法上の業務委託契約以外でも該当し得ます 231 個人情報保護法上の「個人データの取扱いの委託」民法上の業務委託出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託
クラウド例外共同利用

##いまさら聞けない法務の基本 SaaS利用契約など、民法上の業務委託契約以外でも該当し得ます 232 個人情報保護法上の「個人データの取扱いの委託」民法上の業務委託出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託
クラウド例外共同利用

##いまさら聞けない法務の基本クラウド例外は、委託の特殊パターンだと理解するのが良いと思います 234 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本クラウド例外は、委託の特殊パターンだと理解するのが良いと思います 235 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本提供先が個人データを取り扱わないときは「提供」に該当しません 236 FAQの記載出所： https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本ここで「取り扱わないこととなっている場合」とは何かが気になりますよね 239 FAQの記載出所： https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本この点については、最近とてもわかりやすい表現がされるようになっていて 240 出所： https://note.com/miuraandpartners/n/n6e2ed30722cc#d7ac3b5d-dafe-4c04-8897-ea906063f94e 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「意味を持った情報」として利用・処理しているかを基準にしています 241 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「意味を持った情報」として利用・処理しているかを基準にしています 242 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本データに対する、提供元/提供先それぞれの影響力の度合いが異なります 243 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1
第三者提供提供元提供先第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本クラウド例外は、提供元の影響力が一番強いオプションです 244 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##いまさら聞けない法務の基本クラウド例外は、提供元の影響力が一番強いオプションです 245 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##いまさら聞けない法務の基本委託は、3つのオプションの中でちょうど中間地点に位置します 246 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##いまさら聞けない法務の基本委託は、3つのオプションの中でちょうど中間地点に位置します 247 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##いまさら聞けない法務の基本第三者提供は、提供先の影響力が一番強いオプションです 248 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##いまさら聞けない法務の基本ここまで、3つのオプションを俯瞰的にみてきました 249 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本第三者提供で整理する必要がある典型ケースを紹介します 250 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本第三者提供で整理する必要がある典型ケースを紹介します 251 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本まずは、提供先での独自利用が想定されるケースです 252 ①提供先での独自利用が想定されるケース ②提供先での突合が想定されるケース出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-38/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本クラウド例外は、「取り扱わない」ことを前提とする制度でした 255 FAQの記載第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本続いて、提供先での突合が想定されるケースです 256 ①提供先での独自利用が想定されるケース ②提供先での突合が想定されるケース出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-41/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本突合とは、「本人ごとに個人データの項目を増やす」こと等をいいます 259 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-43/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本委託に伴って提供を受けた個人データでは、突合はできないとされています 260 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-43/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本具体的なテーブルを想定しながら、突合の流れを確認しましょう 261 第三者提供委託クラウド例外共同利用 A社でのユーザーID 氏名
メールアドレス A社での行動履歴 00001 00002 A社の個人データ

メールアドレス A社での行動履歴 00001 00002 A社の個人データ B社でのユーザーID メールアドレス B社での行動履歴 AAAAA BBBBB B社の個人データ

メールアドレス A社での行動履歴 00001 00002 A社の個人データ B社でのユーザーID メールアドレス B社での行動履歴 AAAAA BBBBB B社の個人データ A社でのユーザーID 氏名メールアドレス A社での行動履歴 B社での行動履歴 00001 00002 突合

##いまさら聞けない法務の基本以上の通り、突合をしたいのであれば原則第三者提供による必要があります 274 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-43/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本他方で、突合にはあたらないケースも紹介されています 275 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本他方で、突合にはあたらないケースも紹介されています 276 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本こちらも、具体的なテーブルを想定しながら流れを確認しましょう 277 第三者提供委託クラウド例外共同利用 A社でのユーザーID 氏名

メールアドレス A社での行動履歴 00001 00002 A社の個人データ B社でのユーザーID メールアドレス B社での行動履歴 AAAAA BBBBB B社の個人データ B社でのユーザーID ーメールアドレス B社での行動履歴 AAAAA BBBBB

メールアドレス A社での行動履歴 00001 00002 A社の個人データ B社でのユーザーID メールアドレス B社での行動履歴 AAAAA BBBBB B社の個人データ B社でのユーザーID ーメールアドレス B社での行動履歴 AAAAA BBBBB 平均値の算出

##いまさら聞けない法務の基本以上が、いわゆる「混ぜるな危険」と呼ばれる論点の説明でした 280 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本それでは次に、第三者提供で整理する必要がある典型ケースを紹介します 281 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本「必要と考えられる合理的かつ適切な方法」である必要があります 282 第三者提供委託クラウド例外共同利用「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認できていることが前提となる。）。
また、「本人の同意を得（る）」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。ガイドライン通則編 2-16 「本人の同意」

##いまさら聞けない法務の基本多くの企業が、プライバシーポリシーの中で同意を取得しています 283 出所：https://www.kodansha.co.jp/privacy/index.html 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本個別の案件で取得する場合、フォームの末尾等で取得することもあります 284 出所：https://seminar.nikkei.co.jp/registration 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本より理想的な同意取得の方法は、例えば以下の資料が参考になります 285 GDPR 電気通信事業法出所：https://www.ppc.go.jp/files/pdf/doui_guideline.pdf,https://www.soumu.go.jp/main_content/000734726.pdf 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「必要と考えられる合理的かつ適切な方法」を内容面から掘り下げます 286 第三者提供委託クラウド例外共同利用「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認できていることが前提となる。）。
また、「本人の同意を得（る）」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。

##いまさら聞けない法務の基本講師個人としては、①目的②主体③客体を示すのがフェアだと考えています 287 何のために第三者提供をするのか目的誰に対して第三者提供をするのか主体何の情報を第三者提供するのか客体第三者提供
委託クラウド例外共同利用

##いまさら聞けない法務の基本例えばこちらのプライバシーポリシーでは 288 出所：https://www.coca-cola.com/jp/ja/legal/privacy-policy 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本広告を配信するために、という①目的と 289 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本ハッシュ化したメールアドレス等をという②客体と 290 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本広告配信事業者に、という③主体を明示しています 291 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本よく「利用目的の記載のみで同意と評価できないか」と相談がありますが… 292 出所：https://privacy.rakuten.co.jp/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本同意の対象を確定できないので、さすがにそれは無理だと考えています 293 出所：https://privacy.rakuten.co.jp/ 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本同意の対象を確定できないので、さすがにそれは無理だと考えています 294 出所：https://privacy.rakuten.co.jp/ なお例示している楽天グループ株式会社さんは、後続の章できちんと第三者提供同意を取得されています第三者提供委託クラウド例外
共同利用

##いまさら聞けない法務の基本ここからは、実際に見られるプラポリの記載を一緒に見てみましょう 295 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本【事例１】 296 弊社グループは、以下に定める場合、取得情報を第三者に提供します。 • 本サービスを提供するために弊社グループが必要と判断した、本サービス上での情報の提供の場お客様は、提供された他のお客様の情報を、本サービスの利用規約に従った本サービスの利用に必要な範囲でのみ利用するものとし、それぞれのお客様の事前の同意なく、他のお客様の情報を第三者に提供してはなりません。また、取得情報は、本サービス上で弊社グループが定
める期間、公開されます。 • 弊社グループがサービスの運営および提供において必要と判断した場合 ①目的： ②主体： ③客体：第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本【事例２】 297 当社は、利用者の同意を得ることなく、各アプリ及び各サービスにて利用者から取得・保存した利用者情報を第三者に開示又は提供することはありません。ただし、以下の場合は除きます。 1. 法令に基づく場合 2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
3. 国の機関若しくは地方公共団体又はその委託を受けたものが、法令の定めにより遂行することに協力する必要がある場合であって、本人の同意を得ることによりその遂行に支障を及ぼすおそれがあるとき 4. 上記各号のほか、社会通念上、当社が必要と判断した場合であって、本人の同意を得ることが困難であるとき第三者提供委託クラウド例外共同利用 ①目的： ②主体： ③客体：

##いまさら聞けない法務の基本【事例３】 298 （前略）以下の場合においては、氏名や住所など直接特定の個人を識別することができる情報を除外した上で、当社は第三者に対して、必要な範囲でパーソナルデータを提供いたします。 1. 当社のサービス等の提供に必要な場合 2. 当社のサービス等の品質向上のために必要な場合
3. 当社の新たなサービス等の検討のために必要な場合 4. 調査・研究・分析のために研究機関に提供する場合 3 1 第三者提供委託クラウド例外共同利用 ①目的： ②主体： ③客体：

##いまさら聞けない法務の基本【事例４】 299 当社は、お客様が商品を購入された際、お客様に関する情報、購入した商品に関する情報および商品の配送が伴う場合は配送先に関する情報（以下「購入情報」と総称します。）を、商品の提供に必要な範囲で販売者に提供します。 ①目的： ②主体： ③客体： 3
1 2 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本【事例５】 300 ご注文時におけるクレジットカードを利用された決済時において、お客様がご利用契約されているクレジットカード会社からの依頼に基づき、ご登録いただいている以下のお客様の情報を提供する場合がございます。（提供の目的）クレジットカード番号などの情報の盗用による不正利用を防ぎ、安全にクレジットカードをご利用いただくため。（提供する項目）
・カード名義人、ご登録の郵便番号、ご住所、E-mailアドレス ①目的： ②主体： ③客体： 3 1 2 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本【事例６】 301 当社は、よりお客さまに関連性の強い広告を配信するため、広告配信、効果測定、分析等を行なうためにお客さまの同意の上、以下のとおり広告配信事業者に個人データを提供することがあります。提供先の広告配信事業者 • A社 • B社
• … 提供する個人データ：ハッシュ化したメールアドレス等 ①目的： ②主体： ③客体： 3 1 2 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本続いて、委託を見ていきましょう 302 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本先ほど述べた通り、第三者提供の場合には本人の同意が必要ですが 303 第三者提供委託クラウド例外共同利用（第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ない
で、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

##いまさら聞けない法務の基本例外として、第三者に該当しないケースというのが定められてます 304 第三者提供委託クラウド例外共同利用（第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ない

##いまさら聞けない法務の基本第三者に該当しないので、結果として同意の取得も不要になるわけです 305 第三者提供委託クラウド例外共同利用（第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ない

##いまさら聞けない法務の基本そのうちの1つが、ここで取り上げている「委託」のケースです 306 第三者提供委託クラウド例外共同利用（第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ない

##いまさら聞けない法務の基本「委託」によって個人データを提供する場合、委託先の監督が必要です 307 委託元委託先監督第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 308 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています 309 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本このうち、「委託先の選定」では、 312 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本ガイドライン通則編 10（別添）の実施状況をチェックすることになります 313 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本自社でチェックシートを作成して、回答を依頼する方法もありますが出所：https://note.com/nocoinc/n/n9e7760661f81 314 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本公開されている情報を元に自社でチェックすることもありますチェックシート DPA 出所：https://www.sakura.ad.jp/corporate/wp-content/themes/sakura-corporate/assets/pdf/security_checksheet.pdf https://cloud.google.com/terms/data-processing-addendum?hl=ja 315 第三者提供委託クラウド例外
共同利用

##いまさら聞けない法務の基本今出てきた「DPA」という言葉、みなさん聞いたことあるでしょうか？チェックシート DPA 316 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本 DPAは、日本でいう「個人情報の取扱いに関する覚書」のような文書です 317 DPA： ①Data Processing Addendum ②Data Processing Agreement
第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本とりわけ海外企業の場合、検索すればウェブ上で出てくることも多いです 318 DPA 企業名第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本委託先の監督のために必要な2つ目の項目は、委託契約の締結です 319 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本とはいえ、利用規約は動かせないことが多いので個別対応は結構難しいですよね 320 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本ここでは、「定期的に監査を行う等」の対応が求められていますが 321 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本ここでは、「定期的に監査を行う等」の対応が求められていますが 322 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本定期的に監査 = 立入検査ではないので、一定の問い合わせも代替可能です 323 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q5-9 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本最後に、クラウド例外の詳細を見ていきます 324 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本クラウド例外は監督義務が免除されるのが何よりのメリットな訳ですが 325 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本クラウド例外は監督義務が免除されるのが何よりのメリットな訳ですが 326 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##いまさら聞けない法務の基本一切義務が免除されるわけではなく、自社環境としての管理が求められます 327 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-54/ FAQの記載第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本クラウド例外は、自社環境の拡張であると理解するのもいいかもしれません 328 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-54/ FAQの記載第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本一方、それが難しい場合そもそもクラウド例外該当性を疑ってみるべきかも 329 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本 SaaS企業などは、データアクセスについて例外規定を置くことがあります 330 第三者提供委託クラウド例外共同利用出所：https://www.cybozu.com/jp/terms/

##いまさら聞けない法務の基本 SaaS企業などは、データアクセスについて例外規定を置くことがあります 331 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本 SaaS企業などは、データアクセスについて例外規定を置くことがあります 332 第三者提供委託クラウド例外共同利用出所：https://www.cybozu.com/jp/terms/

##いまさら聞けない法務の基本この場合も「アクセス制御」の実施有無によって結論が分かれますが 333 第三者提供委託クラウド例外共同利用出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-55

##いまさら聞けない法務の基本ここでも、先ほどご紹介した「意味を持った情報」の基準が参考になります 336 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本先ほど、第三者提供の場合には本人の同意が必要であることと 337 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「第三者」に該当しない例外ケースがあることをご説明しましたが 338 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本ここでいう「共同利用」も、提供に同意が不要な例外ケースのひとつです 339 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本とはいえ、共同利用を行うためにはいくつかの要件があります 340 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本まずは検討すべき要素を一つずつ見ていきましょう 341 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本「共同利用を実施する」という事実（その旨）と 342 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本実際に共同利用するデータの項目 343 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本共同利用をする者の範囲 344 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本共同利用における利用目的 345 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本管理について責任を有する者について検討が必要です 346 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本その上で、形式要件として本人が容易に知りうる状態に置く必要があります 347 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について

##いまさら聞けない法務の基本プラポリへの記載によって対応することが多いです 348 第三者提供委託クラウド例外共同利用出所：https://www.ccc.co.jp/privacy/

##いまさら聞けない法務の基本 349 第三者提供委託クラウド例外共同利用出所：https://www.ccc.co.jp/privacy/ プラポリへの記載によって対応することが多いです

##いまさら聞けない法務の基本こう見ると、なんだかとても使い勝手が良さそうな制度に見えますが 350 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本共同利用は多くの企業や実務家が扱いに困る、非常に気難しい制度です 351 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本「共同利用」との名称から何か共有状態のようなものを想像しがちですが 352 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用ポイント①：「共有」との誤解

##いまさら聞けない法務の基本共同利用はあくまで「提供」の一形態であり、相手にあげてしまうことです 353 第三者提供委託クラウド例外共同利用（第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ない
で、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。ポイント①：「共有」との誤解

##いまさら聞けない法務の基本そのため当然のことながら一方からの「片面的」な共同利用も認められます 354 共同利用の対象となる個人データの提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。第三者提供委託クラウド例外共同利用出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-3
ポイント①：「共有」との誤解

##いまさら聞けない法務の基本日本の独自色の強い制度であり、外国法では認められないことも多いです 355 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用ポイント②：外国制度との平仄

##いまさら聞けない法務の基本プラポリに記載する場合、JP verとEN ver等での扱いに困ることがあります 356 第三者提供委託クラウド例外共同利用ポイント②：外国制度との平仄

##いまさら聞けない法務の基本過去に取得済みのデータ項目を、今回新たに共同利用できるでしょうか？ 357 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用

##いまさら聞けない法務の基本これは、共同利用は「あらかじめ」知り得る状態に置く必要があり 358 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用

##いまさら聞けない法務の基本「あらかじめ」とは、共同利用開始前であることから問題になります 359 第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用

##いまさら聞けない法務の基本この点については、Q&Aで解説がなされてはいますが 360 第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用

##いまさら聞けない法務の基本判断基準が非常に抽象的で、判断基準として成り立っておらず 361 第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用

##いまさら聞けない法務の基本判断基準が判断基準として成り立っておらず 362 第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用そりゃ、それはそうやろ…

##いまさら聞けない法務の基本何をしてもよく、また何をしてもダメなような記載になっていまっています 363 第三者提供委託クラウド例外共同利用ポイント③：取得済みデータの共同利用

##いまさら聞けない法務の基本共同利用をする者の範囲も、条文上は無限定なように見えますが 364 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用ポイント④：範囲の制約

##いまさら聞けない法務の基本ガイドライン上、共同利用の趣旨からその範囲には制約があるとされており 365 ③共同して利用する者の範囲「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。
第三者提供委託クラウド例外共同利用ポイント④：範囲の制約

##いまさら聞けない法務の基本「一体のものとして取り扱われることに合理性がある範囲」に限定されます 366 ③共同して利用する者の範囲「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。
第三者提供委託クラウド例外共同利用ポイント④：範囲の制約

##いまさら聞けない法務の基本例えば過去、ポイント連携企業に対して共同利用をする例がありましたが… 367 第三者提供委託クラウド例外共同利用出所：https://autonomy-space.com/882/ ポイント④：範囲の制約

##いまさら聞けない法務の基本現在はグループ会社に対象が縮小されています 368 第三者提供委託クラウド例外共同利用出所：https://privacy.cccmkhd.co.jp/personaldata/connection/ ポイント④：範囲の制約

##いまさら聞けない法務の基本共同利用においては、管理責任者を定める必要があります 369 （第三者提供の制限）第二十七条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（中略）５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用について
は、第三者に該当しないものとする。一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合二合併その他の事由による事業の承継に伴って個人データが提供される場合三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。第三者提供委託クラウド例外共同利用ポイント⑤：管理責任の不明確さ

##いまさら聞けない法務の基本この責任は、本人の権利行使への対応に終始しているようにも読めますが 370 「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。第三者提供
委託クラウド例外共同利用ポイント⑤：管理責任の不明確さ出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-3

##いまさら聞けない法務の基本この責任は、本人の権利行使への対応に終始しているようにも読めますが 371 「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。第三者提供
委託クラウド例外共同利用ポイント⑤：管理責任の不明確さ

##いまさら聞けない法務の基本共同利用の趣旨からは、提供先のガバナンスにも一定の責任を負うべき？ 372 ③共同して利用する者の範囲「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。
第三者提供委託クラウド例外共同利用ポイント⑤：管理責任の不明確さ出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-3

##いまさら聞けない法務の基本本来的には、この辺も法律上の義務として責任を負うべきでは？ 373 第三者提供委託クラウド例外共同利用ポイント⑤：管理責任の不明確さ出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-3

##いまさら聞けない法務の基本【再掲】共同利用は多くの企業や実務家が扱いに困る、非常に気難しい制度です 374 第三者提供委託クラウド例外共同利用

##いまさら聞けない法務の基本データの終わり（消去・削除）に関しては、3つの定めが置かれています 376 消去義務削除請求権消去請求権消去義務 22条削除請求権 34条
消去請求権 35条

##いまさら聞けない法務の基本これらには「消去」に関するものと 377 消去義務削除請求権消去請求権消去義務 22条削除請求権 34条

##いまさら聞けない法務の基本「削除」に関するもの 378 消去義務削除請求権消去請求権消去義務 22条削除請求権 34条

##いまさら聞けない法務の基本事業者が自ら負う「義務」に関するものと 379 消去義務削除請求権消去請求権消去義務 22条削除請求権 34条

##いまさら聞けない法務の基本本人が持つ「請求権」に関するものがあるので、順に見ていきます 380 消去義務削除請求権消去請求権消去義務 22条削除請求権 34条

##いまさら聞けない法務の基本まずは「消去」について、事業者が負う「義務」についてです 381 （データ内容の正確性の確保等）第二十二条個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。消去義務削除請求権
消去請求権

##いまさら聞けない法務の基本最初に、「消去」の定義を確認しておきましょう 382 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-1

##いまさら聞けない法務の基本「消去」とは、個人データを個人データとして使えなくすることであり 383 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権

##いまさら聞けない法務の基本単純に削除すること（いわゆる物理削除）は当然これに含まれます 384 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権物理削除

##いまさら聞けない法務の基本レコード自体を消してしまうイメージです 385 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権物理削除ユーザーID
氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報

##いまさら聞けない法務の基本更に特定の個人を識別できないようにすること（論理削除）等も含まれます 386 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権論理削除

##いまさら聞けない法務の基本例えばユーザー登録情報は削除の上で、利用履歴情報だけは残すとか 387 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権論理削除ユーザーID

##いまさら聞けない法務の基本利用履歴情報のうち、ユーザーIDを消去して容易照合性をなくすとか 388 「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。消去義務削除請求権消去請求権論理削除ユーザーID

##いまさら聞けない法務の基本続いて、本人が有する「削除」の「請求権」です 389 消去義務削除請求権消去請求権（訂正等）第三十四条本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂
正等」という。）を請求することができる。２個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

##いまさら聞けない法務の基本「削除」の定義は非常にシンプルで、逃げを許さないものになっています 390 消去義務削除請求権消去請求権「削除」とは、不要な情報を除くことをいう。出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-8-4

##いまさら聞けない法務の基本しかし、削除請求権が認められるのは「事実でないとき」だけで限定的です 391 消去義務削除請求権消去請求権（訂正等）第三十四条本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂
正等」という。）を請求することができる。２個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

##いまさら聞けない法務の基本最後に、ユーザーが有する「消去」の「請求権」についてです 392 消去義務削除請求権消去請求権（利用停止等）第三十五条本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取
得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。（中略）５本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

##いまさら聞けない法務の基本「消去請求権」で実務上一番問題になるのは、漏えい時の請求です 393 消去義務削除請求権消去請求権（利用停止等）第三十五条本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取
得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。（中略）５本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

##いまさら聞けない法務の基本「消去請求権」で実務上一番問題になるのは、漏えい時の請求です 394 消去義務削除請求権消去請求権（利用停止等）第三十五条本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取
得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。（中略）５本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。第二十六条（漏えい等の報告等）

##いまさら聞けない法務の基本「消去請求権」の対象に限定はないので、全データの消去請求も可能です 395 消去義務削除請求権消去請求権

##いまさら聞けない法務の基本「全ての」個人データを探す大変さは、それとなく想像できると思いますが 396 消去義務削除請求権消去請求権

##いまさら聞けない法務の基本ぜひ、この権利が漏えい等をトリガーとして生じることも思い出してください 397 消去義務削除請求権消去請求権（利用停止等）第三十五条本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取
得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。（中略）５本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。第二十六条（漏えい等の報告等）

##いまさら聞けない法務の基本 … 398 消去義務削除請求権消去請求権

##いまさら聞けない法務の基本本日のお品書き ◼ 用語の確認 ◼ いまさら聞けない「個人情報保護法」の基本 ◼ 法改正動向の分析 ➢「３年ごと見直し」とは ➢今回の見直しのトピック
399

400

##いまさら聞けない法務の基本「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 401 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm 個人情報保護法（令和2年6月12日法律第44号附則10条） 3年ごと見直しトピック

##いまさら聞けない法務の基本「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 402 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm 個人情報保護法（令和2年6月12日法律第44号附則10条） 3年ごと見直しトピック

##いまさら聞けない法務の基本「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 403 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm 個人情報保護法（令和2年6月12日法律第44号附則10条）＋３年施行 3年ごと見直しトピック

##いまさら聞けない法務の基本個人情報保護法（令和2年6月12日法律第44号附則10条）「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 404 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm ＋３年見直し施行動向・状況 3年ごと見直し
トピック

##いまさら聞けない法務の基本個人情報保護法（令和2年6月12日法律第44号附則10条）「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 405 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm ＋３年見直し改正施行施行
動向・状況 3年ごと見直しトピック

##いまさら聞けない法務の基本変化が早い領域なので、定期的な法改正自体は必要なことだと思います 406 出所：https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf （令和２年改正） 3年ごと見直しトピック

##いまさら聞けない法務の基本過去の主な改正の内容を振り返ってみましょう 410 2003年（平成15年） 2015年（平成27年） 2020年（令和2年） 2021年
（令和3年）成立改正改正改正 3年ごと見直しトピック

##いまさら聞けない法務の基本「施行」のタイミングを基準に、4つの改正を振り返ります 411 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年
（令和5年） 2003年（平成15年） 2015年（平成27年） 2020年（令和2年） 2021年（令和3年）成立施行施行施行施行改正改正改正 3年ごと見直しトピック

##いまさら聞けない法務の基本 ①2005年：現在の個人情報保護法のベースの成立 412 背景： ◼ 急速な情報化 ◼ 国際的な法制定の動向制定内容： ◼
個人情報保護法の全面施行 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年（令和5年） 2003年（平成15年）成立施行 3年ごと見直しトピック

##いまさら聞けない法務の基本 ②2017年：個人情報保護法最初の改正の施行 413 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年
（令和5年） 2015年（平成27年）改正施行背景： ◼ ビッグデータ時代 ◼ 名簿屋問題制定内容： ◼ PPC新設 ◼ 個人情報の定義の明確化 ◼ 確認記録義務 ◼ ３年ごと見直しのルール 3年ごと見直しトピック

##いまさら聞けない法務の基本あれ、何か … この期間で気づくことはないですかね？ 414 3年ごと見直しトピック

##いまさら聞けない法務の基本何かとっても楽しいことがあったような… 415 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年
（令和5年） 2015年（平成27年）改正施行 3年ごと見直しトピック

##いまさら聞けない法務の基本 …！ 416 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年
（令和5年） 2015年（平成27年）改正施行 3年ごと見直しトピック

##いまさら聞けない法務の基本 BUSINESS LAWYERSリリース10周年おめでとうございます！ 417 3年ごと見直しトピック

##いまさら聞けない法務の基本 3年ごと見直しと共に育ってきた"BUSINESS LAWYERS"を応援しています 418 背景： ◼ ビッグデータ時代 ◼ 名簿屋問題制定内容：
◼ PPC新設 ◼ 個人情報の定義の明確化 ◼ 確認記録義務 ◼ ３年ごと見直しのルール BUSINESS LAWYERSリリース 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年（令和5年） 2015年（平成27年）改正施行 3年ごと見直しトピック

##いまさら聞けない法務の基本 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年（令和5年） 419
2020年（令和2年）改正施行 ③2022年：最初の「3年ごと見直し」改正の施行背景： ◼ リクナビ事件制定内容： ◼ 漏えい等の報告・通知 ◼ 不適正利用の禁止 ◼ 個人関連情報の提供 3年ごと見直しトピック

##いまさら聞けない法務の基本 ④2023年：直近の改正の施行 2005年（平成17年） 2017年（平成29年） 2022年（令和4年） 2023年（令和5年）
420 2021年（令和3年）改正施行背景： ◼ 官民の法制の不整合制定内容： ◼ 官民一元化 3年ごと見直しトピック

##いまさら聞けない法務の基本改正自体が3年ごとにされるわけではなく、ちょっとわかりにくいですよね 421 3年ごと見直しトピック

##いまさら聞けない法務の基本 422 ①３年ごとなのは「改正」「施行」ではなく、「見直し」の開始＋３年見直し改正施行施行 3年ごと見直しトピック

##いまさら聞けない法務の基本 ②「X年改正」の「施行」はX＋N年後 423 見直し改正施行施行＋N年 X年 X＋N年
3年ごと見直しトピック

##いまさら聞けない法務の基本 ③「3年ごと見直し」以外の改正も発生する 424 2003年（平成15年） 2015年（平成27年） 2020年（令和2年） 2021年
（令和3年）成立改正改正改正３年ごと見直し３年ごと見直し３年ごと見直し３年ごと見直し 3年ごと見直しトピック

##いまさら聞けない法務の基本 425 【まとめ】現在、2022年を起算点とした3年ごと見直しが走っています施行改正 2022年（令和4年） 2020年（令和2年） 3年ごと見直し
トピック

##いまさら聞けない法務の基本 426 【まとめ】現在、2022年を起算点とした3年ごと見直しが走っています＋３年見直し改正施行施行改正 2022年
（令和4年） 2020年（令和2年） 2025年（令和7年） 3年ごと見直しトピック

427

##いまさら聞けない法務の基本個人情報保護委員会の資料から、現在の検討状況をみてみましょう 428 出所： https://www.ppc.go.jp/personalinfo/3nengotominaoshi/ 3年ごと見直しトピック

##いまさら聞けない法務の基本今回は「制度改正方針」の資料に着目して改正動向をつかみます 429 3年ごと見直しトピック

##いまさら聞けない法務の基本制度改正方針においては、その内容が4つのカテゴリーに分類されています 430 出所：https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本まずは「適正なデータ利活用の推進」に関するもの 431 出所：https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本続いて「リスクに適切に対応した規律」に関するもの 432 出所：https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本次に「不適切利用等防止」 433 出所：https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本最後に「規律遵守の実効性確保のための規律」です 434 出所：https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本今回は「統計作成等」を目的とした場合の同意規制の軽減に注目します 435 出所：https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本「制度改革方針」での言及内容をもう少し詳しく見てみましょう 436 出所：https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本いままで本人の同意取得が必要だった場面で同意が不要になる 439 出所：https://www.ppc.go.jp/files/pdf/01-4_kisyahaifusiryou2.pdf 同意同意 3年ごと見直しトピック

##いまさら聞けない法務の基本 440 （適正な取得）第20条2項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。（第三者提供）第27条1項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
（外国にある第三者への提供の制限）第28条1項個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。（略）個情法上、「同意」の取得が問題になる場面はいくつかあります 3年ごと見直しトピック

##いまさら聞けない法務の基本 441 （適正な取得）第20条2項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。（第三者提供）第27条1項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
（外国にある第三者への提供の制限）第28条1項個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。（略）要配慮個人情報の取得 3年ごと見直しトピック

##いまさら聞けない法務の基本個人データの第三者提供 442 （適正な取得）第20条2項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。（第三者提供）第27条1項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第
三者に提供してはならない。 3年ごと見直しトピック（外国にある第三者への提供の制限）第28条1項個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。（略）

##いまさら聞けない法務の基本外国にある第三者への提供 443 （外国にある第三者への提供の制限）第28条1項個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。（略） 3年ごと見直しトピック
（適正な取得）第20条2項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。（第三者提供）第27条1項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

##いまさら聞けない法務の基本 444 本改正は上2つについてのものであることが明らかになった訳ですが 3年ごと見直しトピック（適正な取得）第20条2項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。（第三者提供）
第27条1項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。（外国にある第三者への提供の制限）第28条1項個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。（略）

##いまさら聞けない法務の基本今回はその中でも、第三者提供における「同意」に着目してみます 445 （第三者提供）第27条1項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 3年ごと見直しトピック（適正な取得）
第20条2項個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。（外国にある第三者への提供の制限）第28条1項個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。（略）

##いまさら聞けない法務の基本この改正がなされると、どんな良いことがあるの？ 446 3年ごと見直しトピック

##いまさら聞けない法務の基本例えば、to BのSaaSは委託データを使ったAI開発の範囲が広がる？ 447 3年ごと見直しトピック

##いまさら聞けない法務の基本委託は「委託元の利用目的の達成に必要な範囲内」で行われるものですよね委託元委託先 448 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 3年ごと見直しトピック

##いまさら聞けない法務の基本委託は「委託元の利用目的の達成に必要な範囲内」で行われるものですよね委託元委託先 449 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 3年ごと見直しトピック

##いまさら聞けない法務の基本よって、委託先では「委託された業務の範囲内でのみ」取扱いが許されます出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-38 委託元委託先 450 3年ごと見直しトピック

##いまさら聞けない法務の基本委託先は、委託された業務の範囲外で加工することはできません出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-38 委託元委託先 451 3年ごと見直しトピック

##いまさら聞けない法務の基本他方で、委託された業務の範囲内なのであれば… 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-39 委託元委託先 452 3年ごと見直しトピック

##いまさら聞けない法務の基本自社の分析技術の改善等に利用することができます出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-39 委託元委託先 453 3年ごと見直しトピック

##いまさら聞けない法務の基本こうなると、気になるのはどこまでが利用目的の達成に必要な範囲内かです既存機能の改善？ 454 3年ごと見直しトピック

##いまさら聞けない法務の基本委託元に提供しているプロダクトの、新機能の開発はどうでしょうか？既存機能の改善？新機能の開発？ 455 3年ごと見直しトピック

##いまさら聞けない法務の基本さらに進んで、委託元が潜在ユーザーである別プロダクトの開発は？既存機能の改善？新機能の開発？別プロダクトの開発？ 456 3年ごと見直しトピック

##いまさら聞けない法務の基本新機能の開発までが、適法性を説明しやすい限界ラインかなと考えています既存機能の改善新機能の開発別プロダクトの開発 457 3年ごと見直しトピック

##いまさら聞けない法務の基本今回の改正で、第三者提供における同意が不要になれば、 458 出所：https://www.ppc.go.jp/files/pdf/01-4_kisyahaifusiryou2.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本委託で預かっているデータの利用余地が広がるかもしれません既存機能の改善新機能の開発別プロダクトの開発 459 ？ 3年ごと見直しトピック

##いまさら聞けない法務の基本どういうことかというと… 460 STEP1：当初のSaaS利用時 SaaS利用企業 SaaS提供企業個人データの取り扱いの委託 3年ごと見直しトピック

##いまさら聞けない法務の基本「個人データの再度の提供」のようなものが許容されたりするのだろうか？ 461 STEP1：当初のSaaS利用時 STEP2：事後的・追加的な第三者提供？ SaaS利用企業 SaaS提供企業 SaaS利用企業 SaaS提供企業個人データの取り扱いの委託
個人データの取り扱いの委託本規定に基づく第三者提供 3年ごと見直しトピック

##いまさら聞けない法務の基本なお今回の改正は、一定事項の公表等で制度を担保する設計のようです 462 出所：https://www.ppc.go.jp/files/pdf/01-4_kisyahaifusiryou2.pdf 3年ごと見直しトピック

##いまさら聞けない法務の基本以上、大変な長時間お付き合いいただきありがとうございました 463

##いまさら聞けない法務の基本引き続き、法律事務所LEACT・BUSINESS LAWYERSを宜しくお願いします世古修平（せこしゅうへい） Website（事務所）：https://www.leact.law/ Website（個人）：https://www.seko-law.info/ X（旧Twitter）：@seko_law
Mail ：[email protected] 464 loves

BUSINESS_LAWYERS_投影資料.pdf

BUSINESS_LAWYERS_投影資料.pdf

More Decks by SEKO_Shuhei

Featured

Transcript