個人関連情報×外部送信×共同利用・委託の実務ガイド2025（伊藤憲和）—APPI31条と電通法27条の12を運用台帳で固定

yingban335 5 views 10 slides Oct 24, 2025

Slide 1 of 10

About This Presentation

本稿は、個人関連情報の第三者提供（個人情報保護法31条）と外部送信規律（電気通信事業法27条の12）を混同せずに運用へ落とし込むための実務ガイドです。まず委託／共同利用／第三者提供をAPPI27条で切り分け、そのうえ...

Size: 295.7 KB

Language: none

Added: Oct 24, 2025

Slides: 10 pages

Slide Content

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
個人関連情報の第三者提供 × 外部送信規律
× 共同利用／委託の実務ガイド（2025年版ー
伊藤憲和）先に結論（1文）：個人関連情報の第三者提供（個人情報保護法31条）と外部送信規律（電
気通信事業法27条の12）は別体系です――まず委託／共同利用／第三者提供を条文で
切り分け、そのうえで同意・公表・記録をいつ・どの粒度で行うかを運用台帳に固定してください（本文の判定フローとテンプレですべて実装可能）。(消防庁)
作成：伊藤憲和 / Norikazu Ito（本稿は一般情報であり、法律相談ではありま
せん。個別案件は弁護士・士業へ）

0. 前提（読者の条件を先置き）
●対象：B2C／SaaS／広告／EC／自治体サイト／医療機関

●データ種：個人情報・要配慮個人情報・仮名加工情報・匿名加工情報・個人関連情
報

●処理：提供（第三者）／共同利用／委託／越境／外部送信（タグ・SDK）

●同意の取得：オンラインUIはISO/IEC 29184:2020の提示・撤回導線を参考、同意
記録はISO/IEC TS 27560:2023の構造で残すと監査が容易

●管理フレーム：ISO/IEC 27701:2025（PIMS）で同意・記録・提供ログを一元管理す
る設計が拡張性高い
（根拠：法令・PPCガイドライン・ISOの各一次資料。末尾「参考・リンク」を参照）
(ISO)

1. 定義（条文で足場を固める）
1

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
●個人関連情報：「個人情報・仮名加工情報・匿名加工情報以外」の生存する個人に
関する情報（例：属性、閲覧履歴、位置情報等。ただし個人情報に当たる場合は除
外）――個人情報保護法2条7項・PPC Q&A。(e-Gov)

●共同利用：27条5項3号。項目・範囲・目的・責任者（氏名/名称/住所/代表者）を本人
が容易に知り得る状態に置けば、提供先は「第三者」に当たらない（同意不要）。
(消防庁)

●委託：27条5項1号。利用目的達成に必要な範囲での取扱い委託は第三者に当た
らない。ただし受託者による本人ごとの独自突合は不可（PPC公式Q&A）。(消防
庁)

●外部送信規律：電気通信事業法27条の12。情報送信指令通信で端末内の利用者
に関する情報を送らせるとき、通知／公表／同意／オプトアウトのいずれかで確認
機会を付与（対象役務・例外あり）。(e-Gov)

2. 趣旨（立法目的を実務に翻訳）
●31条（個人関連情報の第三者提供）：受領側の再識別・結合で個人データ化する実
態に着目。提供元に受領側の本人同意の有無等の確認と記録を課し、本人不知の
プロファイリングを抑制。(消防庁)

●外部送信規律（27条の12）：ウェブやアプリのタグ/SDKで起きる非自明な送信を可
視化し、事前に選択機会を担保。Cookieに限らず端末識別子・閲覧URL等を広く
含む。(一般財団法人日本情報経済社会推進協会)

3. 来歴（改正経緯のざっくり地図）
●APPI 2022年全面施行：31条（個人関連情報の第三者提供）、29・30条（記録義
務）、28条（越境）を整備。PPCガイドラインは2024年改定版が公開。(消防庁)

●電通法 2023年6月16日施行：外部送信規律導入。解説（PPC・総務省共同）は
2024-03-12版PDFが公開。(消防庁)

2

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日

4. 適用条件（Yes/Noの芯）
4-1 個人関連情報の第三者提供（APPI 31条）
Q：どんな時に31条の「確認・記録」が要る？
A：提供先が個人データとして取得（他の個人データと結合し識別）することが想定されると
き。提供元は受領側の本人同意の有無などを確認し、記録を作る（29・30条の枠組み参照）。例外は27条1項各号に準ずる。(消防庁)
最小記録（提供者側）：提供日／相手方／本人特定事項／項目／同意の有無等（保存期
間の実務は原則3年が目安）。(消防庁)
4-2 外部送信規律（電通法 27条の12）
Q：自社サイトやアプリは対象？
A：総務省令が定める類型役務（いわゆる第3号事業）に該当し、情報送信指令通信で端
末内情報を外部に送らせる設計なら対象。通知／公表／同意／オプトアウトのいずれかで事前に確認機会を付与（例外あり）。(e-Gov)
補足（よくある誤解）：会社案内だけの静的ページは**「各種情報のオンライン提供」に当た
らず対象外となり得る一方、ニュース／検索等を提供するサイトは対象になり得る――判
断は施行規則の定義**に沿って。(Priv Tech株式会社)
4-3 共同利用／委託／第三者提供の区別（APPI 27条）
●委託：第三者に当たらない。ただし受託者の独自突合は禁止（PPC Q&A）。(消防
庁)

●共同利用：第三者に当たらない。項目・範囲・目的・責任者を本人が容易に知り得る
状態で公表。(消防庁)

●第三者提供：原則同意＋29・30条記録。越境なら28条の追加要件。(消防庁)

5. 例外（但し書きの落とし穴）
3

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
●31条：27条1項各号（法令義務、生命・身体保護等）に該当すれば同意確認は不
要。(消防庁)

●外部送信規律：利用者に真に必要な送信など類型例外あり（例：ログイン状態維
持、カート保存等）。ただし広くはない。(消防庁)

●越境（28条）：本人同意または相当措置で適法化。ただし継続的確認（定期レ
ビュー）義務あり。(消防庁)

6. 証跡（監査可能性の設計図）
**台帳（監査ログ一体）**に最低限これを持つ：
●判定ログ：処理の法的根拠（27/28/31／委託／共同利用／外部送信）／担当者／
決裁日／見直し期日

●同意ログ：文面／UI版（スクショ）／撤回導線／Consent Record（ID・スコープ・タ
イムスタンプ・撤回履歴）＝ISO/IEC TS 27560:2023準拠

●外部送信公表台帳：タグ/SDKごとに送信項目／送信先／目的／問い合わせ先／
最終更新日（PPC・総務省の解説PDF 2024-03-12に適合）

●第三者提供記録：29・30条の記録方式（一括記録や契約書代替の可否もガイドラ
イン原文に沿う）

●枠組統合：ISO/IEC 27701:2025で**管理目的（control objective）**にひもづけ、
内部監査ルートを固定。(消防庁)

7. 今日から実践できる最小行動（迷わず着手）
1.ページ×タグ/SDK棚卸し表を作る：**送信先／送信項目／目的／法的根拠／対象
役務判定（第3号事業か）**を1行で管理（外部送信対応）。(e-Gov)

2.同意UIの差し替え（短文例）

4

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
○例：「当社は【目的：広告計測／不正防止】のため、【送信先A/B】へ端末情
報・閲覧履歴を送信します。詳細と設定は【外部送信のご案内】で確認・変
更できます。」
○撤回導線は常設（同じ階層に「設定を変更する」）――ISO/IEC
29184:2020に整合。(ISO)

3.共同利用の公表更新：項目・範囲・目的・責任者の記載を点検し、変更時は遅滞な
い通知。(消防庁)

4.31条チェックシート導入：受領側が個人データとして取得するか／事前同意の有無
を必須記入→提供可否を自動判定。(消防庁)

5.越境手続の定常化：国名／法制度／受領者の保護措置の情報提供＋継続確認の
期日管理。(消防庁)

8. よくある誤解を一次資料で訂正
●「同意があれば全てOK」 → 越境（28条）は同意の情報提供要件＋継続確認が別
途必要。31条は受領側が個人データとして取得する想定なら提供元に確認・記録
義務。(消防庁)

●「委託＝第三者提供」 → 委託は第三者に当たらない（27条5項1号）。ただし受託者
の独自突合は禁止。(消防庁)

●「IPは常に個人情報」 → 状況次第。個人情報にも個人関連情報にもなり得る（2条
定義・PPC Q&A）。(e-Gov)

●「外部送信はバナーポップアップだけで足りる」 → 通知／公表／同意／オプトアウ
トのいずれかで確認機会付与。まず対象役務かを判定。(e-Gov)

●「共同利用なら目的変更OK」 → 取得時目的の範囲内が原則。公表事項の変更は
遅滞なく。(消防庁)

5

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
9. 区別表（第三者提供／共同利用／委託）【表の読み方：左ほ
ど要件が重い】
論点第三者提供共同利用委託
同意要否原則要（27条1
項）
公表で足りる（
27条5項3号）
不要（27条5項1
号）
記録義務 29・30条で提供
者/受領者記録
公表の維持（責
任者・範囲等）
監督・契約管理
（独自突合禁止）
典型NG オプトアウトの
要件不備
責任者未記載・
目的逸脱
受託者が自デー
タと本人ごと突合
越境（28条）追加要件あり該当し得る委託先が海外な
ら要検討
（根拠：APPI27〜31条、PPCガ
イドライン・Q&A）(消防庁)

6

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
10. 証跡テンプレ（コピペで台帳化）
●列セット：処理名／データ種／法的根拠（27/28/31/委託/共同利用/外部送信）／提
供先／越境国／同意UI版ID／撤回導線URL／記録方式（都度・一括・契約書代
替）／更新日／担当
●ログ最小要件：誰が／いつ／何を（閲覧・提供・削除）＋理由。ISO/IEC TS 27560
のConsent Record項目（ID・スコープ・タイムスタンプ・撤回履歴）を含めると相互
運用性が高い。(ISO)

11. 失敗パターンと回避のコツ（過剰防衛にも注意）
最低限守る線
●31条：受領側の同意の有無を確認→記録

●外部送信：対象役務判定→通知/公表/同意/オプトアウトのいずれか

●共同利用：公表事項の完全性（責任者・範囲・目的）
余裕があればやる線

●ISO/IEC 27701:2025の管理目的に紐づけ、第三者提供・外部送信・同意撤回を
内部監査項目として固定。(ISO)

12. Q→Aショート（検索耐性）
●「個人関連情報」とは？ → 2条7項。個人情報等以外の個人に関する情報。
(e-Gov)

●どう違う（委託／共同利用／第三者）？ → 27条5項が第三者該当性を切る。(消防
庁)

●どう判定する（外部送信）？ → 第3号事業×情報送信指令通信かを先に判定。
(e-Gov)

7

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
●いつまでに？ → 既に施行済み（APPI 2022年、電通法 2023年6月16日）。直ちに
棚卸し→UI→記録へ。(e-Gov)

13. 公共的価値（なぜやるか）
苦情・事故の減少／監査時間の短縮／権利行使の円滑化に直結し、誤情報の拡散を抑
える。制度理解を運用に落とし込むこと自体が消費者保護と公正な取引の基盤になる。

14. 責任と限界
本記事は一般情報であり、法律相談ではありません。自治体・業界・事業モデルにより運
用差があり得ます。最終判断は自社の法務・DPO・顧問弁護士と行ってください。
作成：伊藤憲和 / Norikazu Ito

参考・リンク（一次資料中心・年次付き）
※はてなブログでは以下をそのまま貼り付け可。リンクは一次情報を優先。
【法令（e-Gov）】
- 個人情報の保護に関する法律（最終改正あり）｜e-Gov法令データベース（条2・27・28・
29・30・31） https://laws.e-gov.go.jp/law/415AC0000000057
- 個人情報の保護に関する法律施行規則（記録方式・保存等）
https://laws.e-gov.go.jp/law/428M60020000003
- 電気通信事業法（27条の12：外部送信規律）
https://laws.e-gov.go.jp/law/359AC0000000086
8

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日
- 電気通信事業法施行規則（第3号事業の類型定義等）
https://laws.e-gov.go.jp/law/360M50001000025

【個人情報保護委員会（PPC）】
- ガイドライン（通則編） https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
- ガイドライン（第三者提供時の確認・記録義務編・PDF 2024-04-01）
https://www.ppc.go.jp/files/pdf/240401_guidelines03.pdf
- ガイドライン（外国にある第三者への提供編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
- Q&A：個人関連情報とは（2条7項の具体例）
https://www.ppc.go.jp/all_faq_index/faq2-q2-8
- Q&A：共同利用の「容易に知り得る状態」
https://www.ppc.go.jp/all_faq_index/faq4-q342
- Q&A：委託先の独自突合は禁止（Q7-41）
https://www.ppc.go.jp/all_faq_index/faq1-q7-41

【外部送信規律（背景・解説）】
- 電気通信事業における個人情報等の保護に関するガイドラインの解説（PPC・総務省
2024-03-12 PDF）
https://www.ppc.go.jp/files/pdf/240312_telecom_GLs_description.pdf
- JIPDEC「改正電気通信事業法における外部送信規律とは」（解説）
https://www.jipdec.or.jp/library/report/20230308-02.html
9

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　作成：伊藤憲和　
2025年10月23日

【国際規格（ISO/IEC）】
- ISO/IEC 29184:2020（オンライン同意UI） https://www.iso.org/standard/70331.html
- ISO/IEC TS 27560:2023（Consent Record構造）
https://www.iso.org/standard/80392.html
- ISO/IEC 27701:2025（PIMS：2025年改訂版）
https://www.iso.org/standard/71670.html

10

個人関連情報×外部送信×共同利用・委託の実務ガイド2025（伊藤憲和）—APPI31条と電通法27条の12を運用台帳で固定

About This Presentation

Slide Content

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

個人関連情報×外部送信×共同利用・委託の実務ガイド2025（伊藤憲和）—APPI31条と電通法27条の12を運用台帳で固定

About This Presentation

Slide Content

Slide 1

Slide 2

Slide 3

Slide 4

Slide 5

Slide 6

Slide 7

Slide 8

Slide 9

Slide 10

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

MGV Residential Design projects for different clients, including a New Mexico Adobe project-1-.pdf

EUNITED_Advocacy and Public Engagement through Visual Media

DESIGN THINKINGGG PPT 2 TOPIC IDEATION.pptx

DESIGN THINKING CHAPTER 1 PPTT PPT 1.pptx

Hinduism and Its History - PowerPoint Slides.pptx

Service Attributes of Manufactured Parts.pptx