ITパスポート 2012年 秋期 問20
問題文
個人情報を他社に渡した事例のうち、個人情報保護法において、本人の同意が必要なものはどれか。
選択肢
ア:親会社の新製品を案内するために、顧客情報を親会社へ渡した。(正解)
イ:顧客リストの作成が必要になり、その作業を委託するために、顧客情報をデータ入力業者へ渡した。
ウ:身体に危害を及ぼすリコール対象製品を回収するために、顧客情報をメーカーへ渡した。
エ:請求書の配送業務を委託するために、顧客情報を配送業者へ渡した。
🔒 解説は解答すると表示されます
問題タイトル【ITパスポート 解説】
個人情報を他社に渡した事例のうち、個人情報保護法において、本人の同意が必要なものはどれか。
選択肢:ア: 親会社の新製品を案内するために、顧客情報を親会社へ渡した。
イ: 顧客リストの作成が必要になり、その作業を委託するために、顧客情報をデータ入力業者へ渡した。
ウ: 身体に危害を及ぼすリコール対象製品を回収するために、顧客情報をメーカーへ渡した。
エ: 請求書の配送業務を委託するために、顧客情報を配送業者へ渡した。
イ: 顧客リストの作成が必要になり、その作業を委託するために、顧客情報をデータ入力業者へ渡した。
ウ: 身体に危害を及ぼすリコール対象製品を回収するために、顧客情報をメーカーへ渡した。
エ: 請求書の配送業務を委託するために、顧客情報を配送業者へ渡した。
正解の理由
理由を一言でいうと、「親会社に渡す目的が元の利用目的(顧客管理や販売)と異なり、新たな利用(親会社の新製品案内=別の宣伝目的)に当たるため、個人情報保護法上は第三者提供に該当し、本人の同意が必要」だからです。
用語の説明(初出でかみ砕く)
- 個人情報保護法:個人情報(特定の個人が分かる情報)をどう扱うか定めた法律です。
- 第三者提供(第三者に提供すること):保有者以外の別の事業者に個人情報を渡すこと。
- 委託(アウトソーシング):業務処理を外部に頼むこと。外部に渡すが、指示どおり処理させ管理するため、通常「第三者提供」とは扱われない場合が多い。
- 本人の同意:個人情報の持ち主(本人)が「この目的で渡すことを許可する」と明示すること。
解法ステップ
- 「誰に渡すか」と「渡す目的」を確認する。
- 渡す先が「業務委託先(指示に従う外部事業者)」か「第三者(別の事業者が独自に利用する)」かを判定する。
- 委託なら、適切な契約・管理で「第三者提供」に当たらない。
- 第三者提供なら、原則として本人の同意が必要。
- 例外がないか確認する(法令による提供や、人命保護のための緊急提供など)。
- 各選択肢に当てはめて、同意が必要か判断する。
この問題では:
- イ・エは「委託」に該当 → 同意不要(だが委託契約・安全管理は必要)。
- ウは「人の生命・体を守るための提供」に該当 → 緊急の保護目的で例外的に同意不要。
- アは「別目的の第三者提供」→ 本人同意が必要。
選択肢別の誤答解説
-
ア(正解): 親会社へ「新製品案内」という別の利用目的で渡す行為は、第三者提供に当たります。元の情報提供目的(例:商品の販売やアフターサービス)とは違うため、本人の同意が必要です。親会社側が共同利用(共同で使う)として事前に明示し、同意を得ていれば例外になりますが、問題文はその手続きがない前提です。
-
イ(誤り): 顧客リスト作成を「データ入力業者に委託」する場合、業務委託です。委託先は指示どおり処理して返す立場なので、通常は「第三者提供」に該当しません。ただし、委託契約で安全管理・秘密保持を定める必要があります。
-
ウ(誤り): リコールで「身体に危害を及ぼす恐れのある製品を回収」するための提供は、人命・身体の保護を目的とした緊急の対応に該当し、本人同意なしに提供できるケースです(個人の生命・身体の保護が優先されるため)。そのため、このケースは同意不要と判断されます。
-
エ(誤り): 請求書の配送を配送業者に頼むのは「配送業務の委託」です。業務遂行のための委託であり、適切な委託契約と監督があれば第三者提供には当たりません。
よくある誤解
-
「外部に渡す=必ず同意が必要」ではない
- 外部に渡す行為でも「委託(アウトソーシング)」であれば、第三者提供とは扱われないことが多いです。大事なのは「渡す目的」と「渡す相手の立場(委託先か第三者か)」です。
-
「緊急なら何でも無条件で渡せる」わけではない
- 人命等の保護が必要な場合は例外がありますが、その判断は慎重に行う必要があります。単に便利だからという理由では適用できません。
-
「親会社だから同意不要」ではない
- 親子会社の関係でも、共同利用や同意取得の手続きを取らなければ第三者提供に当たります。組織内での扱い方を明確にする必要があります。
補足コラム
-
委託(アウトソーシング)で個人情報を渡すときの実務ポイント
- 委託契約で、目的外利用禁止、再委託の制限、適切な安全管理措置、事故時の報告義務などを明記します。
- 委託先の管理(アクセス制限、ログ管理、暗号化など)を定期的に確認します。
-
共同利用(複数事業者で同じ個人情報を使う)という仕組みもあります。共同利用は事前に「誰が」「何のために」「範囲」を公表し、共同利用する旨を本人に通知・公表することで、第三者提供とは扱われない場合があります。
-
匿名加工情報(個人が識別できないように加工した情報)は、個人情報に当たらないため、同意不要で利用・提供できる場合があります。ただし「元に戻せる形」だと個人情報です。
FAQ
Q1: 「同意」は書面でないとダメですか?
A1: 書面である必要は必ずしもありません。メールやウェブ上でのチェックボックス等でも有効な場合があります。重要なのは「本人が意図を示した」ことと、その記録を残すことです。
A1: 書面である必要は必ずしもありません。メールやウェブ上でのチェックボックス等でも有効な場合があります。重要なのは「本人が意図を示した」ことと、その記録を残すことです。
Q2: 親会社に個人情報を渡す前に「利用目的」を変えずに済ませる方法は?
A2: 事前に顧客へ「親会社と共同利用する」と明示して同意を得るか、親会社との共同利用の要件(誰が使うか、利用目的、管理責任者など)を満たして公表する方法があります。
A2: 事前に顧客へ「親会社と共同利用する」と明示して同意を得るか、親会社との共同利用の要件(誰が使うか、利用目的、管理責任者など)を満たして公表する方法があります。
Q3: リコール時でも個人情報の最小限の範囲で提供するべきですか?
A3: はい。緊急時でも提供は必要最小限にとどめ、提供後の取り扱い(廃棄・返却等)を明確にすることが重要です。
A3: はい。緊急時でも提供は必要最小限にとどめ、提供後の取り扱い(廃棄・返却等)を明確にすることが重要です。
関連キーワード: 個人情報保護法、第三者提供、委託(アウトソーシング)、本人同意、共同利用、リコール対応、匿名加工情報、安全管理措置

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

