取得した個人情報を第三者へ提供する場合に実施すべき遵守事項を規定した要求事項が「3.4.2.8 提供に関する措置」となります。
個人情報を提供する場合には
取得した個人情報を第三者へ提供する際の要求事項が規定されているのが「3.4.2.8 提供に関する措置」で、第三者へ提供を行う場合は、前述した3.4.2.4のa)~d)の内容と同等以上の内容を通知し、同意を得ることを要求しています。
なお、この要求事項にも適用除外のケースが規定されていて、その内容は以下のとおりとなります。
- 3.4.2.4又は3.4.2.7の規定によって、事前に3.4.2.1のa)~d)の内容を通知し、同意を得ている場合
- 大量の個人情報を広く一般に提供する場合
(本人に同意を得ることが困難であることにくわえ、以下の事項を通知するかそれにかわる同等の措置を講じている場合のみ)
ー提供を利用目的とすること、対象の個人情報、提供の手段又は方法、本人からの依頼があれば提供を停止すること、及び取得の方法
- 法人などの団体に関する情報に含まれる役員及び株主の情報を、法令又は当該法人によって公開された情報を提供する場合
(以下の事項を本人に通知するか、本人が容易に知り得る状態にある場合のみ)
ー提供を利用目的とすること、対象の個人情報、提供の手段又は方法、本人からの依頼があれば提供を停止すること、及び取得の方法
- 特定した利用目的の範囲内で、個人情報を委託する場合
- 合併やその他の事由による事業の継承にともなって提供する場合
(継承前の利用目的の範囲内で個人情報を取り扱うときのみ)
- 共同利用の場合
(以下の事項を本人に通知するか、本人が容易に知り得る状態にある場合のみ)
ー共同利用すること、対象の個人情報、利用者の範囲、目的、責任者及び取得の方法
- 3.4.2.6のa)~d)に該当する場合(個人情報保護法の第16条3項と同等の内容)
なお、注意しなければいけないのは、特定した利用目的の達成に必要な範囲を超えた提供については目的外利用にあたるため、3.4.2.6によって、本人の再同意が必要になるということです。
個人情報保護法との関連
個人情報保護法の第23条(第三者提供の制限)が、「3.4.2.8 提供に関する措置」に相当します。
この第23条(第三者提供の制限)は、2015年の個人情報保護法の改正で強化された条項になります。
また、個人情報の第三者提供に関する義務が強化され、新たに第24条(外国にある第三者への提供の制限)、第25条(第三者提供に係る記録の作成等)、第26条(第三者提供を受ける際の確認等)が追加されています。