第三者提供とは具体的に何をいうのでしょうか?
それは、問い合わせフォームで入力されたメールアドレスを外部のメール配信サービスに送ったり、Google Analyticsでアクセスデータを解析したりする場合、外部サービスに個人情報が渡る=第三者提供や委託に該当するケースが出てきます。
目次
第三者提供とは何か?
第三者提供の基本的な定義を押さえておきます。
個人情報保護法における「第三者提供」とは、事業者が本人以外の第三者に個人データを渡すことを指します。ここでいう「第三者」とは、自社の従業員や委託先以外の外部組織を意味します。
一方で、個人情報保護法では「委託」や「共同利用」の場合は、形式上は第三者提供に当たりません。
つまり、データの受け渡しが必ずしもすべて「第三者提供」に該当するわけではなく、契約内容や利用形態によって判断が変わる点に注意が必要です。
参考:個人情報保護委員会「個人情報の第三者提供」、「第三者」とはどのような者をいうのですか。 |個人情報保護委員会
第三者提供よる外部サービス利用時に注意すべきこと
次に、実際のホームページやブログ運営でよくあるケースを見てみます。
具体例
- 問い合わせフォームの入力データをクラウドのメール配信サービスに送信
- メルマガ登録情報を外部のCRMに保存
- Google Analyticsでアクセスデータを収集し、米国サーバーに送信
- DropboxやGoogle Driveに顧客データを保存し、外部業者と共有
といった場面が挙げられます。
このように、個人情報が外部サービスに渡るケースでは、第三者提供に当たるのか、それとも委託に当たるのかを正しく判断する必要があります。
つまり、単に「便利だから使う」で済ませず、契約内容やプライバシーポリシーでの明示、利用者からの同意取得といった対応が欠かせないのです。
具体的な有名サービス例(第三者提供に該当しうるもの)
代表的なクラウドサービスや外部ツールを挙げます。これらは多くのサイト運営者が利用しており、契約条項や同意取得が欠かせません。
アクセス解析・広告系
メール配信・フォーム系
- Mailchimp(米国の大手メール配信サービス)
- SendGrid(Twilio)(フォームや通知メール送信に利用)
- Googleフォーム(回答データはGoogleのクラウドに保存)
- さくらのメールボックス(国内サービスだが、委託契約の明示が推奨される)
クラウドストレージ
CRM・マーケティングツール
- Salesforce(顧客管理システム)
- HubSpot(マーケティング自動化ツール)
- Slack / Microsoft Teams(業務連絡ツールだが顧客情報を送信する場合は留意)
違反事例から学ぶ:失敗の原因と対策
国内事例:官公庁サイトの外部サービス利用
ある省庁がGoogleフォームを利用してアンケートを実施した際、回答データが米国サーバーに保存されることを利用者に周知していなかったため、個人情報保護委員会から注意喚起を受けました。
- 問題点
- 海外移転の事実を明示していなかった
- プライバシーポリシーに外部サービス利用が記載されていなかった
- 対策
- 外部サービス利用を必ず明示
- 保存先や利用目的をポリシーに追記
- 利用者から同意を得る仕組みを導入
参考:個人情報保護委員会「クラウドサービス利用に関する注意喚起」
海外事例A:欧州による米国クラウド利用に対するGDPR制裁
企業が顧客データを米国クラウドに保存していたにもかかわらず、SCC(標準契約条項)を結ばずに利用していたとして制裁を受けました。
- 問題点
- 国際データ移転に必要な法的根拠を欠いていた
- 利用者への説明が不足していた
- 対策
- SCCや十分性認定を確認
- プライバシーポリシーに転送先・保護措置を明記
参考:European Data Protection Board「国際データ移転ガイドライン」
海外事例B:SNS連携アプリのデータ流出
あるSNSアプリが、利用者の同意を得ずにFacebookの友達リストやメールアドレスを外部に提供し、制裁金を科されました。
- 問題点
- 利用規約が不十分で同意を誤認させた
- 想定外の範囲でデータを共有
- 対策
- 同意文言を具体的に記載
- 提供範囲を必要最小限に限定
- 同意撤回の仕組みを提供
参考:NRIセキュア
代表サービス別:リスクと対応表
第三者提供に該当しうる代表的な外部サービスごとに、考えられるリスクと対応ポイントを表にまとめます。
| サービス | 想定されるリスク | 推奨される対応 |
|---|---|---|
| Google Analytics | 利用者データが米国に送信される。匿名化設定不足で個人情報扱いとなる可能性 | IP匿名化設定を確認し、プライバシーポリシーに利用目的と海外送信の明記 |
| Meta Pixel | 広告目的で利用者データがMetaに送信される | Cookie同意バナーで広告トラッキングの同意を取得 |
| Mailchimp | メルマガ登録者の情報が米国サーバーに保存される | プライバシーポリシーに送信先を記載し、利用者から同意を取得 |
| SendGrid | 問い合わせデータやメールアドレスが国外サーバーを経由 | 委託契約(利用規約)を確認し、送信先をポリシーに記載 |
| Googleフォーム | 回答データがGoogleのサーバーに保存される | 利用者に外部保存を説明し、必要に応じ同意を得る |
| Dropbox / Google Drive | 個人情報を含むファイルが国外事業者に保存される | 保存前に匿名化する、アクセス権限を制限する |
| Salesforce | 顧客データがクラウドに保存され、国外転送の可能性あり | 契約で安全管理措置を確認、プライバシーポリシーに記載 |
| HubSpot | 顧客データやフォーム情報が国外サーバーに保存 | 利用者に明示し、必要に応じて同意を得る |
| Slack / Microsoft Teams | 顧客データを添付した場合、国外事業者に保存される可能性 | 業務連絡には個人情報を含むファイルを極力載せない、必要なら暗号化する |
| さくらのメールボックス | 国内サービスだが、外部委託扱いになる可能性 | 委託先管理として契約条件を確認 |
まとめ:安心して外部サービスを活用するために
- 第三者提供とは、本人以外に個人データを渡すこと
- リスクと対応表を参考に、委託か提供かの判断、同意取得、契約条項の整備が必須
- 違反事例の多くは「説明不足」「同意不備」「海外移転リスク」が原因
外部サービスは便利で効率的ですが、適切に管理しなければ信頼を損なうリスクがあります。
透明性と同意取得を徹底することで、安心してサービスを活用でき、結果としてユーザーの信頼と集客につながります。
参考文献
- 個人情報保護委員会「個人情報の第三者提供」https://www.ppc.go.jp/personalinfo/legal/guidelines_thirdparty/
- 個人情報保護委員会「クラウドサービス利用に関する注意喚起」
https://www.ppc.go.jp/files/pdf/240325_alert_cloud_service_provider.pdf - European Data Protection Board「国際データ移転ガイドライン」
https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en - NRIセキュア
https://www.nri-secure.co.jp/blog/case-of-gdpr-penalties - 各サービス公式サイト(Google, Meta, Twitter, Mailchimp, SendGrid, Dropbox, Salesforce, HubSpot, Slack, Microsoft Teams, さくらインターネット)