行政書士 行政法 問128：個人情報保護法・第三者提供の制限・オプトアウト・本人同意

アが正しいです。個人情報保護法第27条第1項は、個人データの第三者提供には原則として本人の同意が必要であるとしつつ、①法令に基づく場合、②生命・身体・財産の保護で同意困難、③公衆衛生・児童健全育成で同意困難、④国の機関等の事務遂行協力で支障のおそれがある場合などを例外としています（このほか学術研究機関等に関する例外もあります）。イは「要配慮個人情報もオプトアウトで提供可能」としており誤りです（要配慮個人情報はオプトアウトの対象外）。ウは「外国への提供は基準適合国のみ同意不要」としており誤りです（本人の同意または十分な保護措置が必要）。エは「業務委託先への提供は常に本人同意が必要」としており誤りです（業務委託は「第三者」に含まれない）。

第三者提供の原則と例外（アが正しい根拠）: 個人情報保護法第27条第1項は第三者提供の基本ルールを定め、原則として本人の同意が必要ですが、以下の場合は例外として同意なしに第三者提供できます。①法令に基づく場合（裁判所の命令・税務調査への回答等）、②人の生命・身体・財産の保護に必要で本人同意が困難な場合（緊急搬送等）、③公衆衛生・児童健全育成に必要で本人同意が困難な場合、④国等の機関が法令の事務遂行に必要で同意を得ることにより支障を来すおそれがある場合。アはこの4類型を正確に表現しています。

オプトアウトの限界（イが誤りの根拠）: オプトアウト（あらかじめ通知し本人が拒否しない限り第三者提供を認める方式）は、要配慮個人情報・不正に取得した個人データ・不正に提供を受けた個人データには認められません。要配慮個人情報のオプトアウトによる提供は禁止されています（イが誤りの根拠）。

越境移転（外国への提供・ウが誤りの根拠）: 外国にある第三者への提供は、①本人の同意、②十分な保護水準を認定する国への提供（個人情報保護委員会が指定）、③基準適合体制を整備した事業者への提供、のいずれかが必要です。「基準適合国のみ同意不要」という単純な表現は正確ではありません。

業務委託（エが誤りの根拠）: 業務委託先（受託者）への個人データの提供は「第三者」への提供に当たらず、委託先の監督義務を果たすことが条件で本人の同意なしに提供できます。

提供記録の作成（オが正しい根拠）: 個人データの第三者提供時の記録作成・保存義務は現行法で規定されており、オの記述は正しい。ただしアが最も明確に正答の要件を示しているため正答はア。

【理論的背景】

個人データの第三者提供規制は個人情報保護法の実務上最も重要な規律の一つです。近年のデータ経済の発展により、企業間での個人データの流通・活用が増大し、特に越境移転（外国への提供）の問題が国際的な規律整合性の観点からも重要になっています。日本のGDPR（EU一般データ保護規則）との十分性認定（EUが日本を「十分な保護水準がある」と認定）もこの文脈で重要です。個人データの自由な流通と個人の権利保護のバランスをどう設計するかが、個人情報保護法の中核的な立法政策上の問題です。

【実務・条文構造】

第三者提供の例外と規律（法第27条第1項）:

原則: 本人の事前同意

例外（同意不要）:

1. 法令に基づく場合

2. 生命・身体・財産の保護で同意困難

3. 公衆衛生・児童健全育成で同意困難

4. 国等機関の事務遂行協力で支障のおそれ

（このほか学術研究機関等に関する例外も第27条第1項各号に規定）

「第三者」に当たらない場合（本人同意不要）:

• 業務委託先（個人データの取扱いを委託する場合・適切な監督義務が前提）
• 事業継承（合併・会社分割等による承継）
• 共同利用（あらかじめ本人に通知等した共同利用の場合）

オプトアウトの詳細:

• 認められる情報: 通常の個人データ（要配慮情報等は除外）
• 手続: ①提供する情報の項目等を本人に通知等、②個人情報保護委員会への届出
• 禁止対象: 要配慮個人情報・不正取得・不正提供を受けた個人データ（イが誤りの根拠）

越境移転（法第28条）:

• 原則: 本人の同意
• 例外①: 委員会が指定する「十分な保護水準のある国」（現在EUと英国等）への提供
• 例外②: 委員会規則が定める基準に適合する体制を整備した外国の事業者への提供

※「基準適合国のみ同意不要」（ウ）の表現は正確でない。本人同意が基本で、上記例外が存在するという理解が正確。

提供記録の作成・確認（法第29条・第30条）:

• 第三者に提供する際の記録作成義務（提供年月日・氏名等・提供した個人データの項目／法第29条）
• 提供を受ける際の確認・記録義務（法第30条）
• 保存期間: 原則3年（施行規則で規定）

【試験での位置づけ】

行政書士試験では第三者提供の4つの例外（法令・生命身体財産・公衆衛生・国機関協力）、「第三者に当たらない場合」（業務委託・事業承継・共同利用）、オプトアウトの禁止対象（要配慮個人情報は不可）が頻出です。越境移転の規律も出題されます。「業務委託先への提供も常に本人同意が必要」（エのような誤り）と「要配慮個人情報もオプトアウト可」（イのような誤り）が典型的な引っかけです。

【各選択肢の発展補足】

• ア: 正しい（正答）。個人データ第三者提供の原則（本人同意）と4つの例外（法令・生命等・公衆衛生等・国機関等の事務）を正確に表現。
• イ: 誤り。オプトアウトによる第三者提供が認められない情報として要配慮個人情報が明示的に除外されている（現行法の明確な規定）。
• ウ: 誤り。外国への提供は「本人の同意」が原則。基準適合体制を整備した外国事業者への提供は本人同意なしで可能だが、「基準適合国のみ同意不要」という単純な公式は正確でない（十分性認定国とも別問題）。
• エ: 誤り。業務委託先（受託者）は「第三者」に含まれず、適切な監督義務の下で本人同意なしに個人データを提供できる。「常に本人同意が必要」は誤り。
• オ: 正しい。提供記録の作成・保存義務は現行法で規定されている（オは正しい内容。ただし正答はアが最も直接的に正答要件を示す）。

【根拠条文】

個人情報の保護に関する法律（個人情報保護法）第27条（第三者提供の制限：原則と例外・業務委託等の非第三者・オプトアウト。要配慮個人情報はオプトアウト不可）、第28条（外国にある第三者への提供：越境移転）、第29条・第30条（提供記録の作成・確認）

【補足】

第三者提供の4例外：法令・生命等・公衆衛生等・国機関の事務。業務委託先＝第三者でない（監督義務あり）。オプトアウト＝要配慮個人情報には不可。越境移転＝原則本人同意（例外：十分性認定国・基準適合体制）。