お客様から取得したメールアドレスや電話番号他の個人データを、SNSやプラットフォームサービスにアップロードし、広告配信のために利用する場合もあるのではないでしょうか。 

アップロードされた個人データは、SNS事業者等で保有しているデータと突合されて、広告配信に利用されます。それによって、お客様への再アプローチや、お客様と似たユーザーへのアプローチ等が可能になります。 

Googleの「カスタマーマッチ」、Facebook、Instagramの「カスタムオーディエンス」、Twitter の「テイラードオーディエンス」等、様々なSNSやプラットフォームにおいて、そうした手法が利用可能となっており、「アドレサブル広告」と呼ばれています。 

今回は、これらの手法を実施する場合の個人情報保護法への対応において、把握しておくべき項目についてご説明します。

■主な引用元 

・個人情報の保護に関する法律についてのガイドライン（通則編）（以下、ガイドライン） 

・「個人情報の保護に関する法律についてのガイドライン」 に関するＱ＆Ａ（以下、Ｑ＆Ａ） 

今回対象とする手法のイメージ

第三者提供の制限の原則（法第27条第1項関係）

上述のような利用をする際は、個別の事案ごとに具体的に判断する必要がありますが、「個人データの第三者提供」に該当する蓋然性が高いと思われます。

※委託と整理する場合は、後述の「委託を受けた個人データは委託先のデータと突合できない」におけるQ&Aの内容をご確認ください。

「個人データの第三者提供」に該当する場合は、第三者提供の制限の原則に基づき、利用目的において第三者提供する旨を特定し、本人の同意を取得する必要があります（ガイドライン　3-6-1 第三者提供の制限の原則） 

同意の取得に際しては、「事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。」とされています。 

また、提供先の名称については個別に明示することまでが求められるわけではありませんが、想定される提供先の範囲や属性を示すことは望ましいと考えられます（Q&A 7-9）。 

「本人の同意」

本人の同意の取得方法については注意が必要です。ガイドラインでは以下のように定義されています（ガイドライン 2-16 「本人の同意」太字部JPAC）。 

「本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認できていることが前提となる。）」 

本人の同意を得ている事例は以下の通りです。いずれも本人からのなんらかのアクションと伴うものあることに注意が必要かと思います。

・事例1）本人からの同意する旨の口頭による意思表示 

・事例2）本人からの同意する旨の書面（電磁的記録を含む。）の受領 

・事例3）本人からの同意する旨のメールの受信 

・事例4）本人による同意する旨の確認欄へのチェック 

・事例5）本人による同意する旨のホームページ上のボタンのクリック 

・事例6）本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力 

第三者提供の制限の原則については以上となります。 

なお、第三者提供を行う場合は原則として確認・記録義務が課されますが、詳細については個人情報の保護に関する法律についてのガイドライン （第三者提供時の確認・記録義務編）をご確認ください。

外国にある第三者への提供の制限（法第28条関係）

SNSやプラットフォームの運営事業者が外国にある第三者の場合は、外国にある第三者への提供の制限（法第28条）の規定についても確認する必要があります。原則としては、以下の規定が適用されます。

●外国にある第三者への提供を認める旨の本人の同意を得なければならない（法第28条第1項）

・同意取得時に、外国の名称、外国の制度の情報、第三者の措置の情報を情報提供する必要がある（法第28条第2項）

・この場合、法第27条は適用されない（そのため、委託、共同利用等の例外も適用されない）

ただし、以下の場合は適用される条項が異なるため、対応が変わります。

●第三者が個人情報保護委員会が認定した国/地域（EU及びイギリス）にある場合

・法第28条は適用されない（当該国/地域は法第28条においては外国から除かれるため）

・法第27条（個人データの第三者への提供）が適用される（日本国内への第三者提供と同様）

●第三者が個人情報保護委員会が定める体制を整備している場合

・法第28条第1項及び第2項は適用されない（当該第三者は法第28条においては第三者から除かれるため）

・法第27条（個人データの第三者への提供）が適用される（日本国内への第三者提供と同様）

・法第28条第3項が適用され、第三者の措置の継続的実施を確保するための措置と本人の求めに応じた措置の情報の提供が必要となる

外国にある第三者への提供の制限の詳細については、個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）を場合分けと適用される条項が複雑になりますのでご注意ください。早見表は以下になります。

なお、外国にある第三者への提供の制限（法第28条）の他に、安全管理措置としての外的環境の把握（法23条）にもご注意ください。

一方、実務的には、第三者提供に該当するかについて慎重に検討したい場合も多いかと思われます。そこで以下に、個人データの第三者提供に該当するかの判断に関わる内容について補足します。 

「個人データ」の第三者提供への該当について

アップロード（提供）するのは「氏名を除いたメールアドレスや電話番号等だけ」なので、「個人データ」の第三者提供には該当しない、と思われる方もいらっしゃるかもしれません。その際は、以下のような点をご確認いただければと思います。

「個人データ」「個人情報」 

個人データは、大まかに言えば、事業者が管理するデータベース等に含まれる個人情報といえます（ガイドライン 2-6 個人データ） 

個人情報の定義は以下のようになります（ガイドライン 2-1 個人情報 一部略 太字部JPAC） 。

生存する「個人に関する情報」であって、 

「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。）」、又は（以下略） 

太字部より、メールアドレス等の一部情報だけを切り出したとしても、社内にある元データと容易に照合できる状態にあれば、個人データに該当すると言えます（なお、氏名と照合ができない場合でも、特定の個人を識別できれば個人情報に該当します）。

「容易に照合することができ」 

上記の定義に含まれる「容易に照合することができ」るについては、Q&Aに以下の記載があります。

「双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます」（Q&A 1-18）

「例えば、特定の個人を識別することができる情報に割り当てられている識別子（例：顧客ID等）と共通のものが割り当てられていることにより、事業者内部において、特定の個人を識別することができる情報とともに参照することが可能な場合、他の情報と容易に照合することができると解され得るものと考えられます」（Q&A 1-19）

提供元基準

第三者に提供する情報が、氏名を除いたメールアドレスや電話番号等のみの場合、個人データに該当するかどうかの判断は、「提供元（自社）」を基準とするのか、「提供先（SNS事業者等）」を基準とするのかによって変わる可能性があります。 

これは「提供元基準」や「提供先基準」と呼ばれています。ガイドラインやQ&Aには2025年2月現在、どちらを採用するのかの明記はないようですが、監督機関である個人情報保護委員会は、以下のように「提供元基準」をとっています。

「個人情報の保護に関する法律についてのガイドライン（通則編）（案）」に関する意見募集結果（2016年11月30日交付）No19 より

ある情報を第三者に提供する場合、当該情報が「他の情報を容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報を容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。 

「個人情報保護法　いわゆる3年ごと見直し　制度体制大綱」（令和元年12月13日公表） P25 より

〇 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、提供する部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、個人情報としての管理の下で適切に提供することを求めている。 

〇 これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めるものである（一般に「提供元基準」と呼ばれている。）。 

「第三者提供」か「委託」かの判断について 

「第三者提供」ではなく、「委託」と整理できないか、と思われる方もいらっしゃるかと思います。その際は、以下のような点をご確認いただければと思います。

「委託」

提供先が形式的には第三者に該当するが、提供元と提供先を一体のものとして取り扱うことに合理性があるため、第三者に該当しないものと考える場合として、委託、事業の承継、共同利用の場合があります。 

委託、事業の承継、共同利用のいずれの場合も「第三者への提供」には該当せず、本人の同意の取得が不要になりますが、その中でも特に「委託」は実務上頻繁に用いられるかと思われます。 

ただし「委託」の場合は、委託先は、委託された業務以外に委託に個人データを取り扱うことはできません。また、委託先の監督の義務が発生します。 

※その他、第三者提供、委託、事業の承継、共同利用については当ブログ記事「第三者提供、委託、共同利用の違い | JPAC BLOG」もご参照ください。

委託を受けた個人データは委託先のデータと突合できない 

Q&Aにおいて、委託先は、委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできない旨が示されており、以下の事例があげられています（Q&A 7-41）。

・事例１）既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

・事例２）既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

合わせて、以下の記載もありますのでご確認ください。

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。

以上のように、SNS等での広告配信のためにメールアドレスや電話番号等をアップロードし、SNS事業者等で保有しているデータと突合の上、広告配信に利用する場合は、第三者提供に該当する蓋然性が高いと言えます。 

最終的には個別の事案ごとに具体的に判断する必要がありますが、上述した内容をご確認いただければと思います。 

最後に、当機構では個人情報保護第三者認証マーク「TRUSTe（トラストイー）」の認証付与を行っています。認証審査の過程で、専門性を持つ審査員が法令違反のリスクがないかを確認しており、ご相談も可能です。ぜひお気軽にお問合せください。