個人情報の目的外利用と第三者提供の判断フレーム｜APPI第18条／第27条 例外5類型と運用境界線

「キャンペーンで取得したお客様の連絡先を、別商品の案内に使ってもよいか」「採用応募者のデータをグループ会社の選考に共有してよいか」「警察から個人情報の任意提供を求められたが、本人同意なしに開示してよいか」——個人情報の「目的外利用」と「第三者提供」の判断は、APPI（個人情報保護法）が経営者・現場担当者に最も頻繁に突きつける問いです。判断を誤ると、本人の同意なしの違法な情報利用として、行政処分・損害賠償・レピュテーション毀損のトリプルパンチを受けます。

このページでは、約120社の顧問契約を担当する弁護士法人ブライトが、APPI第18条（利用目的による制限）と第27条（第三者提供の制限）の基本構造、本人同意なしで利用・提供できる例外5類型、警察照会・弁護士会照会・裁判所からの照会への対応、そして社内の判断フレームを実務目線で解説します。

目的外利用と第三者提供の判断は、「同意取得」「例外類型該当性」「委託・共同利用・仮名加工等の代替スキーム」のどれかに整理する作業です。本記事のフレームを使えば、ほとんどの局面で社内判断のベースラインが立てられます。

この記事でわかること

• APPI第18条 利用目的による制限の構造（「目的の特定→範囲内利用」の二段ゲート）
• APPI第27条 第三者提供の原則同意 と 例外5類型
• 「委託」「共同利用」「仮名加工情報」と第三者提供との使い分け
• 警察照会・弁護士会照会・裁判所からの照会への対応
• 判断に迷ったときの社内フローと記録保管のルール

この記事のポイント

• 目的外利用は「利用目的の変更が本人合意の範囲内か」と「同意取得の実施」で整理
• 第三者提供の例外5類型のうち「法令に基づく場合」は照会の根拠条文確認が必須
• 「委託」「共同利用」「仮名加工」は第三者提供の例外スキームとして設計可能

この記事の監修者

和氣 良浩（わけ よしひろ）

弁護士法人ブライト｜代表弁護士／パートナー弁護士

弁護士歴20年（2006年登録）／大阪弁護士会／大阪大学法学部卒

専門：顧問弁護士・企業法務・M&A・経営権紛争・事業再生

APPI第18条：利用目的による制限の構造

「特定→公表→範囲内利用」の3段ゲート

個人情報の利用は、APPI第17条〜第18条により、以下の3段ゲートで制限されます。

• 第17条 利用目的の特定：個人情報を取得する前に、利用目的を「できる限り特定」する
• 第21条 利用目的の通知・公表：取得時または取得後に、本人に対して利用目的を通知または公表
• 第18条 利用目的による制限：特定した利用目的の達成に必要な範囲を超えて利用してはならない

第18条は「達成に必要な範囲」という幅のある表現を使っており、ここに実務判断の余地と落とし穴があります。「会員サービスの提供」と特定された利用目的の下で、「同社の別商品案内DM」を送ることは範囲内か、範囲外かは、特定の表現粒度と本人の合理的予測の総合判断です。

「目的外利用」の許容ルート

特定した利用目的を超えて個人情報を利用したい場合、以下のいずれかのルートを取ります。

• 本人同意の取得（第18条第1項）：明示的な同意取得
• 利用目的の変更（第17条第2項）：変更前の目的と相当の関連性を有する範囲であれば、本人同意なしで変更可（変更後は通知・公表必要）
• 第18条第3項の例外：法令に基づく場合・人の生命身体財産の保護・公衆衛生・国の機関等への協力

「相当の関連性」の判断

第17条第2項の「相当の関連性」は、本人が当初の利用目的から合理的に予測できる範囲かどうかで判断します。例えば「会員サービスの提供および会員に対する関連商品の案内」と特定していれば、新商品の案内は相当の関連性内ですが、「全く異なる業種への顧客リスト共有」は相当の関連性を欠きます。

判断が曖昧な局面では、「利用目的の変更で対応する」より「明示的な同意取得」を選ぶのが、紛争予防の安全策です。

APPI第27条：第三者提供の制限と例外5類型

原則：本人同意

個人データを第三者に提供する場合、原則として本人同意が必要です（第27条第1項）。同意は、利用目的・提供先・提供方法を本人が認識した上で示す必要があり、画面上の小さな文字でのチェックや、長文同意書の最後の包括同意では「有効な同意」とは評価されないリスクがあります。

本人同意なしで提供できる例外5類型

第27条第1項各号は、本人同意なしで個人データを第三者提供できる例外を5類型に整理しています。

• 類型1：法令に基づく場合（裁判所の調査嘱託・刑事訴訟法に基づく捜査関係事項照会等）
• 類型2：人の生命、身体又は財産の保護のために必要がある場合であって、本人同意取得が困難なとき
• 類型3：公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人同意取得が困難なとき
• 類型4：国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人同意取得が事務遂行に支障を及ぼすおそれがあるとき
• 類型5：学術研究機関等が学術研究の用に供する目的で取り扱う必要がある場合

これら5類型は厳格に解釈されます。「会社にとって都合がよい」「合理性がある」程度では類型該当しません。

第三者提供の「第三者」から除外される3類型

第27条第5項各号は、形式的には個人データの提供であっても、APPI上「第三者」に当たらない3類型を定めています。これらは本人同意なしでも提供可能です。

• 第27条第5項第1号 委託：利用目的の達成に必要な範囲内で、個人データの取扱いの全部または一部を委託する場合
• 第27条第5項第2号 事業の承継：合併その他の事由による事業の承継に伴う場合
• 第27条第5項第3号 共同利用：特定の者との間で共同して利用する場合（利用者範囲・利用目的・責任主体の公表が要件）

第三者提供の「同意取得が困難」「例外5類型に該当しない」局面では、これらの代替スキームへの切替が現実的な解です。詳細は 個人情報の共同利用 完全ガイド および 委託先管理 APPI第25条 も参照してください。

警察照会・弁護士会照会・裁判所からの照会への対応

警察からの照会

警察からの個人情報照会は、根拠条文によって対応が異なります。

• 刑事訴訟法第197条第2項に基づく捜査関係事項照会：例外類型1「法令に基づく場合」に該当し、本人同意なしで回答可能
• 任意の協力依頼（根拠条文の明示なし）：例外類型1には該当せず、原則として本人同意が必要。例外類型2（人の生命身体財産の保護）等の該当性を個別判断
• 裁判所からの令状（捜索差押令状・差押令状）：強制処分のため拒否不可

実務では、警察から「捜査のため」と口頭で照会されることがありますが、根拠条文と照会書面の取得が原則です。捜査関係事項照会書を求めて初めて、APPIの例外類型1で対応するのが安全策です。

弁護士会照会

弁護士法第23条の2に基づく弁護士会照会は、例外類型1「法令に基づく場合」に該当し、本人同意なしで回答可能です。ただし「報告義務」と「報告できるか」の二段判断が必要で、回答を拒否できる正当事由（個人情報保護法以外の法令上の守秘義務等）があれば拒否可能です。

裁判所からの照会

• 調査嘱託（民事訴訟法第186条）：例外類型1で本人同意なし回答可
• 文書送付嘱託（民事訴訟法第226条）：同上
• 当事者照会（民事訴訟法第163条）：強制力はなく、回答義務はない（個人情報保護の観点からの拒否余地あり）

本人・家族・第三者からの問合せ

本人以外の第三者（家族・友人・取引先等）からの個人情報照会には、原則として回答しないのが安全策です。本人の生命・身体保護のため緊急性が高い場合（行方不明等）に限り、例外類型2の該当性を個別判断します。

従業員・元従業員の在籍状況・退職事由を、第三者（再就職先等）に開示するのは、本人同意なしには原則違法です。レファレンスチェック対応は、本人同意取得を前提とした運用設計が必要です。

仮名加工情報・匿名加工情報の活用

仮名加工情報（APPI改正で追加）

仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように加工した個人情報です。社内分析・利用目的変更の柔軟性が高まる一方、第三者提供は原則禁止（業務委託・共同利用は可）の点に注意が必要です。

匿名加工情報

匿名加工情報は、特定の個人を識別できず、かつ復元できないように加工した情報です。第三者提供（同意なし）も可能で、ビッグデータ活用の中核ツールです。ただし、加工基準（個人情報保護委員会規則第34条）の遵守と公表事項が要件です。

使い分けの判断

• 社内分析・横断分析：仮名加工情報で運用
• 外部研究機関・統計分析事業者への提供：匿名加工情報で運用
• 本人特定での個別マーケティング：個人情報のまま、本人同意取得

仮名加工・匿名加工のスキーム設計は、加工基準の充足が技術的に難しいケースがあり、専門家関与が望まれる領域です。

社内の判断フローと記録保管

判断フローの標準形

個人情報の利用・提供の判断は、以下のフローで処理します。

• ① 当該利用・提供は「特定した利用目的の範囲内」か？
• ② 範囲外なら、利用目的の変更（第17条第2項）で対応可能か？
• ③ 利用目的の変更で対応できないなら、本人同意を取得できるか？
• ④ 本人同意取得が困難なら、例外5類型（第18条第3項／第27条第1項）に該当するか？
• ⑤ いずれにも該当しなければ、利用・提供を停止（または委託・共同利用・仮名加工等の代替スキームを検討）

記録保管のルール

第三者提供の場合、APPI第29条・第30条で記録作成・保管義務が課されます。

• 提供日時・提供先・対象本人・項目
• 本人同意取得の方法と日時
• 例外類型該当の場合は、根拠（照会文書・緊急事由の記録）
• 記録保管期間：原則3年間（提供方法・取得方法による）

これらの記録は、行政指導・行政処分・本人からの開示請求対応で最重要の証拠です。「記録がないことによる立証不能」が、APPI違反の最頻出ハマりパターンです。

判断に迷ったときの社内エスカレーション

• 現場担当者の独断判断は禁止（書面記録なしの口頭判断はとくに）
• 個人情報保護管理者または情報システム部による一次判断
• 法務部門による二次判断
• 顧問弁護士への照会（書面回答取得）
• 判断結果と根拠を社内記録として保管

判断記録の蓄積は、社内ガイドラインの精緻化と、現場の判断品質向上に直結します。

顧問弁護士による目的外利用・第三者提供の判断支援

目的外利用・第三者提供の判断は、「事前のスキーム設計」「個別案件の判断」「行政・本人からの問合せ対応」の3層で動きます。社内判断だけで完結させるには法令・ガイドラインの解釈負担が重く、顧問弁護士の関与で判断品質と継続性を確保するのが現実的です。

弁護士法人ブライトの顧問契約では、以下の支援を提供しています。

• 個人情報の利用・提供スキームの設計（同意・委託・共同利用・仮名加工の使い分け）
• 警察照会・弁護士会照会・裁判所照会への対応書面作成
• 個別案件の目的外利用判断（書面回答）
• 第三者提供記録の整備とテンプレート化
• 仮名加工情報・匿名加工情報の加工基準充足支援
• 本人からの開示請求・利用停止請求対応

まとめ

個人情報の目的外利用・第三者提供の判断は、APPI第18条・第27条のフレームに沿って、「同意・例外類型・代替スキーム」のどれで処理するかを整理する作業です。判断フローと記録保管のルールを社内で標準化することで、現場の判断品質が安定し、行政対応・本人対応のリスクが大きく減ります。

個別案件の判断に迷う局面では、顧問弁護士への照会と書面回答の取得を運用に組み込むことをお勧めします。プライバシーポリシー整備（プライバシーポリシー整備の実務）・委託先管理（委託先管理 APPI第25条）・漏えい対応（漏えい・誤送信時の72時間対応）と併せて、本シリーズの他記事も併せてご参照ください。