2018年6月12日、個人情報の保護に関する基本方針が改定されました。
　https://www.ppc.go.jp/files/pdf/300612_personal_basicpolicy.pdf 　　
2-(2)②（個人データの円滑な国際的流通の確保のための取組）の項目が新設され、日本と当該外国との間の制度及び運用の差異を埋めるために、個人情報保護委員会が、法令及び政令で規定された規律（例えば、要配慮個人情報 や保有個人データの定義に係る規律等）を補完し上回る、拘束力のある規律、すなわち、国内の個人情報取扱事業者に対して執行可能な、より厳格な規律を設けると宣言されました。

また、2018年7月17日には、個人情報保護委員会から、秋に予定されている、GDPR（General Data Protection Regulation：EU一般データ保護規則）に基づく欧州委員会による日本への十分性認定の発効に併せて、個人情報保護法第24条（外国にある第三者への提供の制限）に基づいてＥＵを指定する方向で、手続を進める、との発表がありました。
https://www.ppc.go.jp/enforcement/minutes/2018/20180717/　

A.3.4.2.8

2006：3.4.2.8

施行規則7条
付則第二条

A.3.4.2.8a)の規定によって、個人情報を直接取得する時点で、情報の提供について、本人から再提供を含めて同意を得ている提供者から取得した場合は、本人が同意した利用目的の範囲内で提供する限り、改めて本人の同意を得る必要はない。例えば、本人の同意を得て作成されている名簿を販売するときがこれに該当する。

本人に通知する事項には、A.3.4.2.5d)の“個人情報を第三者に提供することが予定される場合の事項”が含まれるが、ここでは“個人情報”を“個人データ”と読み替えてもよい。
なお、特定した利用目的の達成を必要な範囲を超えて個人データを提供することは、利用目的の達成に必要な範囲を超えた利用となり、A.3.4.2.8a)の規定に該当しないため、A.3.4.2.6の規定によって、本人の同意を得ることが望ましい。

A.3.4.2.8b)の“本人の同意を得ることが困難な場合”に該当するかどうかの解釈は、大量の個人のデータを広く一般に提供する場合など、公共的な有益性と本人の不利益とを比較し、条理又は社会通念による客観的判断のもとで、極力限定的に解釈することが望ましい。
なお、この場合には法令等の定めに基づく届出の手続きを行うことも含まれる。

A.3.4.2.8c)の“法人その他の団体の役員に関する情報”とは、株主、顧客に配布される書類などに記載されている役員の履歴、持株数など、本人又は当該法人その他の団体自らによって公表されているような情報をいう。個人が営業する屋号については、法人その他の団体の役員に関する情報と考えてもよい。

"本人が容易に知り得る状態"とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態に置いていることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によることをいう。

A.3.4.2.8e)に関連して、A.3.4.2.8e)に該当する場合に加え、事業の承継のために、事業承継の契約を締結するより前の交渉段階で、相手会社から自社の調査を受け、自社の個人情報を相手会社へ提供する場合は、当該個人情報の利用目的及び取扱方法、漏えいなどが発生した場合の措置、事業承継の交渉が不調となった場合の措置など、相手会社に安全管理措置を遵守させるため必要な契約を締結することについてもA.3.4.2.8e)に含めて差し支えない。

A.3.4.2.8f)は、個人情報を第三者に提供することによって共同利用への参加を認める場合が該当する。共同利用の留意事項については、B.3.4.2.7を参照。

□あらかじめ、本人に通知し、本人の同意を得る。

• 省略（付属書A.3.4.2.8　の内容と同じ）

□共同利用に関する事項の通知など:本人に通知するか、又は本人が容易に知り得る状態に置く。

• □共同して利用すること
• □共同して利用される個人情報の項目
• □共同して利用する者の範囲
• □共同して利用する者の利用目的
• □共同して利用する個人情報の管理について責任を有する者の氏名又は名称
• □取得方法

□A.3.4.2.8b)による個人データの第三者提供に関する事項

省略（付属書A.3.4.2.8　の内容と同じ）

【Pマーク審査対応のポイント】

• 事業者が、現在保有している個人情報について、第三者提供を行う場合、あらかじめ同意を得ていなかった時は、書面によって明示し書面によって同意を得ること。
• 他社が取得した個人情報を共同利用する旨の契約等を締結している場合は、本人に通知し同意を得ることを要しない。ただし必要事項を通知または公表しなければならない。
  
• 個人データだけでなく「個人情報」も対象となる。
  
• b)項の〝本人の同意を得ることが困難な場合であって、法令等が定める手続きに基づいた上で〟とは、オプトアウトのことである。あらかじめホームページ等に必要事項を通知・公表したうえで、第三者提供の利用目的、個人データの項目、提供の方法（URL等）、本人の求めを受け付ける方法などを指定様式に記述し、個人情報保護委員会へ届け出ることにより、第三者提供を行うことができる。ただし、本人が第三者提供の停止を求めた場合は、速やかに応じなければならない。
  
• 要配慮個人情報についてはオプトアウト対象とすることはできない。
  「個人情報データベース提供罪」（不正目的でデータベースを第三者に提供した場合）は、法第83条により、一年以下の懲役又は50万円以下の罰金。
  
• 事件・事故の事例
  1. 2018/3/17/：英データ分析会社「ケンブリッジ・アナリティカ」がフェイスブックのユーザー5000万人のデータを不正に取得し、第三者に提供した。

【3300個人情報取扱規程】サンプル

3.4.2.8　個人データの提供に関する措置

第三者に提供することについて本人の同意を得ずに取得した個人データもしくは個人情報（以下個人データ等という）は、以下の手順に従い本人から同意を得ることで、第三者提供することができる。その場合は、あらかじめ「3421個人情報取得・変更申請書」によって、個人情報保護管理者の承認を得なければならない。

２　第三者提供する場合は、本人に対して、取得方法及び3.4.2.5のa) ～d) に示す事項又はそれと同等以上の内容の事項、及び取得方法を記載した「明示して同意を得るための書面」によって本人から同意を得なければならない。

３　本人の同意を得ることが困難な場合であって、法令等が定める手続きに基づいた上で、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知するか、又はホームページに公表したうえで、個人情報保護委員会に届け出たときは、本人からの同意を省略することができる。 その場合は　4.例外的な処理手順に従わなければならない。

1)	第三者への提供を利用目的とすること
2)	第三者に提供される個人データ等の項目
3)	第三者への提供の手段又は方法
4)	本人の請求等に応じて当該本人が識別される個人データ等の第三者への提供を停止すること
5)	取得方法
6)	本人からの請求などを受け付ける方法

４　役員および株主に関する情報であって、かつ、本人又は組織によって公開又は公表された情報を提供する場合は、前項の1)～6)で示す事項又はそれと同等以上の内容の事項をあらかじめ本人に通知、もしくはホームページに公表することで、本人からの同意を省略することができる。その場合は　4.例外的な処理手順に従わなければならない。

５　特定した利用目的の達成に必要な範囲内において、個人データ等の取扱いの全部又は一部を委託するときは、本人からの同意を省略することができる。その場合は　4.例外的な処理手順に従わなければならない。

６　合併など事業の承継に伴って、個人データ等を提供する場合であって、承継前の利用目的の範囲内で当該個人データ等を取り扱うときは、本人からの同意を省略することができる。その場合は　4.例外的な処理手順に従わなければならない。

７　共同利用する場合は以下の手順に従うことにより、あらためて本人からの同意は得ずに個人情報を利用することができる。

1)	共同して利用する者の間で、3.4.2.7d)項に規定する内容について契約を締結する。
2)	あらかじめ共同利用について責任を有する者（代表幹事会社など）が、本人に対し、3.4.2.5のa)～f) に示す事項を通知する。
3)	「3421個人情報取得・変更申請書」および4.例外的な処理手順に従って、「3428-01第三者提供先(共同利用先)調査表」に、以下に示す事項を記載した「利用目的を通知もしくは公表する書面（案）」を添付して保護管理者の承認を得る。
4)	承認された「利用目的を通知もしくは公表する書面（案）」に従い、当社のホームページに公表する。 ・共同して利用すること ・共同して利用される個人情報の項目 ・共同して利用する者の範囲 ・共同して利用する者の利用目的 ・共同して利用する個人情報の管理について責任を有する者の氏名又は名称 ・取得方法

８　その他、4.例外的な処理手順　3.4.2.8項のただし書きのいずれかに該当する場合は、本人からの同意を省略することができる。その場合は　4.例外的な処理手順3.4.2.8に従わなければならない。

A.3.4.2.8.1　

外国にある第三者への提供の制限

法第25条

• 個人データだけでなく「個人情報」も対象となる。
  
• 「個人情報管理台帳」に提供先を特定し、リスク分析を実施すること。
  
• 審査では、本人の同意に関する記録を確認する。
  
• 外国への第三者提供について利用目的を通知し同意を得る対象には、委託や共同利用も含まれる。
  
• 外国にある第三者への提供にあたる場合
  1. 外国政府への提供
     
  2. 外国にある組織が別法人格の子会社を日本に設置している場合
     
  3. 外資系企業の日本法人から、外国にある親会社に個人データを提供する場合。
     
• 欧州拠点の人事データを域外に持ち出す際は、雇用契約とは別に同意を取る必要がある。
  
• 域外で適切と認定されている国は、スイス、ハンガリー、カナダ、アルゼンチン（2018年7月現在）、日本は2018年秋を予定している。
  
• 同意を得ずに外国にある第三者への提供ができる場合
  
  1. 同等性認定：外国にある拠点が当該組織と同一法人格。外国法人の日本国内事務所であるなど。
     
  2. 適切かつ合理的な措置の実施：個人データの取扱いに関する契約、確認書、覚書等の締結。サーバー事業者の場合は、当該サーバーに保存された個人データを取扱わない旨の契約条項（約款を含む）があり、かつ適切なアクセス権限を含む安全管理措置を講じている場合など。
     
  3. 国際的な枠組みに基づく認定：個人データの提供を受ける者が、国際的な枠組みに基づく認定を受けていること。アジア太平洋経済協力（APEC）の越境プライバシールール（CBPR）システムの認証などがこれにあたる。
     
  4. A.3.4.2.3のただし書きa)～d) のいずれかに該当する場合
• 賠償金事例等
  
  1. 2016年6月「米アドビシステムズなど3社」：ドイツ・ハンブルクのデータ保護機関が米アドビシステムズなど3社に従業員と顧客のデータを欧州域外に違法に持ち出していたとして、8000ユーロから1万1000ユーロの制裁金を科すと発表した。制裁金は当時の為替レートで1社当たり100万円前後に過ぎないが、関係者に衝撃を与えた。雇用契約を結んだから本社にデータを送るのは当然、という考え方は通じない。
     
  2. 2018/3/20：日本年金機構が500万人分の個人情報の入力を委託した都内の情報処理会社が契約に反し、中国の業者に作業を任せていた。A.3.4.2.8.1の不適合でもある。

【3300個人情報取扱規程】サンプル

3.4.2.8.1　外国にある第三者への提供の制限

外国にある第三者に個人データ等を提供する場合については、今後整備される法令等の定めを含めて順守しなければならない。

2 外国にある第三者に個人データ等を提供する場合（委託や共同利用を含む）は、本人に対して、提供する個人データの取得方法、及び3.4.2.5のa) ～d) の事項又はそれと同等以上の内容の事項を含めた「明示して同意を得るための書面」によって、外国にある第三者への提供を認める旨の本人の同意を得なければならない。

3 本人から同意を得ずに外国にある第三者に提供する場合は、次のいずれかの場合に限定する。その場合は　4.例外的な処理手順3.4.2.8.1に従わなければならない。

	区分	外国にある者との関係
1）	同等性認定	当社と同一法人格。日本の法人格を有する当該組織の外国支店など。
2)	適切かつ合理的な措置の実施	個人データ等の取扱いに関する契約、覚書等を締結している。 例：サーバー事業者の場合は、当該サーバーに保存された個人データを取扱わない旨の契約条項（約款を含む）があり、かつ適切なアクセス権限を含む安全管理措置を講じている場合など。
3)	国際的な枠組みに基づく認定	アジア太平洋経済協力（APEC）の越境プライバシールール（CBPR）システムの認証などを受けていること。
4)	3.4.2.3のただし書きa)～d) のいずれかに該当する場合

 

A.3.4.2.8.2

第三者提供に係る記録の作成など

法第25条

施行規則12条

付属書B
3.4.2.8.2

GL通則編
3-4-5

GL三

個人データを第三者に提供したときは、当該個人データを提供した
①年月日
②当該第三者の氏名又は名称、及び
③その他の法令等で定める事項
に関する記録の作成義務が課され、当該記録を作成した日から法令等で定める期間保存することが法令で定められている。
なお、本人の同意があっても記録義務は免除されないことが法令で定められている。
記録の作成方法は、書面又は電子データのいずれでもよく、別途特別に紙ファイル又はデータベースを作成しなくても、年月日、提供の相手方などの記録すべき事項がログ、IPアドレスなどの一定の情報を分析することによって明らかになる場合には、その状態を保存することで差し支えない。

A.3.4.2.8.2c)は、個人情報を第三者に提供することによって共同利用する場合が該当する。共同利用の留意事項については、B.3.4.2.7を参照。

【Pマーク審査対応のポイント】

• 個人情報の権利の観点から、トレーサビリティの確保が目的である。
• 個人データだけでなく「個人情報」も対象となる。 ・提供される本人の氏名もしくはID等、個人データの項目、本人の同意を得ているかどうか等について記録する。書面、電子データ、IPアドレスを含むログなども記録となる。
• 情報サービス事業者が常駐先の企業に提供する"スキルシート"は、第三者提供の記録の対象となる。
• 第三者に提供に係る記録の作成及び保管を行わない場合が、A.3.4.2.8.2のどのただし書きに該当するのか、承認文書もしくは説明を求められることがある。
• 記録の作成が免除される事例
  • A.3.4.2.3のただし書きa)～d) のいずれかに該当する場合。
  • 特定個人情報の第三者提供は、法令に基づく場合の提供である。
  • 委託、事業承継若しくは共同利用のいずれかに該当する場合
• 簡易な記録で足りるとされる場合（保管期間を３年超に見直しが必要な場合がある。）
  • 契約書、同意書等：本人が同意した第三者提供である場合。
  • 授受記録：反復継続する第三者提供である場合。
  • 第三者提供の記録の保存期間は、以下を除き提供した日から３年間もしくは3年超（規則第13条）
  • 物品又は 役務の提供に関連して作成された契約書等の書面：1年超　

【3300個人情報取扱規程】サンプル

3.4.2.8.2　第三者提供に係る記録の作成など

個人データ等を第三者に提供したときは、以下の内容について「3428-02第三者への提供記録」を作成すること。

1）	当該第三者の氏名又は名称及び住所、並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名
2)	当該第三者への提供の内容
3)	提供した担当者の氏名及び所属

2 「3428-02第三者への提供記録」に記載しなくてよい個人データー等は、以下に限定する。ただし、その場合は4.例外的な処理手順3.4.2.8.2に従わなければならない。 

1）	契約書、同意書等、文書を３年以上保管する場合
2)	反復継続する第三者提供で、授受記録を３年以上保管する場合
3)	物品又は、役務の提供に関連して作成された契約書等で、１年以上保管する場合
4）	利用目的の達成に必要な範囲内において個人データの取扱の全部又は一部を委託することに伴って当該個人データが提供される場合。
5）	合併その他の事由による事業の承継に伴って個人データを提供される場合。
6）	特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知するか、又は本人が容易に知り得る状態に置いているとき。
７）	3.4.2.3のただし書きa)～d) のいずれかに該当する場合

3　 「3428-02第三者への提供記録」は、PMS事務局が（正）を3年超保管し、必要に応じて担当部門が、(控)を保管する。

A.3.4.2.8.3

【Pマーク審査対応のポイント】

• 個人データだけでなく「個人情報」も対象となる。
• 確認の記録の作成が免除される事例
  • A.3.4.2.3のただし書きa)～d) のいずれかに該当する場合
  • 委託、事業承継若しくは共同利用のいずれかに該当する場合
• 第三者提供を受けた記録の保存期間は、以下を除き３年間もしくは3年超（規則第18条）
• 物品又は 役務の提供に関連して作成された契約書等の書面：1年超　

【3300個人情報取扱規程】サンプル

3.4.2.8.3　第三者提供を受ける際の確認など

受託する場合、および第三者から提供を受ける場合は、「3424-21適正な取得チェックリスト」によって、委託元又は提供元が個人情報を適正に取扱っていることを確認・選定し、個人情報保護管理者の承認を得なければならない。

2　取得の経緯を示す契約書等の書面によっても当該個人情報が適法に取得されたことが確認できない場合は、個人情報保護管理者はその取得を自粛することを含め、慎重に判断し、対応しなければならない。

3 その他、4.例外的な処理手順　3.4.2.8.3項のただし書きのいずれかに該当する場合は、第三者提供を受ける際の確認を省略することができる。その場合は　4.例外的な処理手順3.4.2.8.3に従わなければならない。