要配慮個人情報(病歴・犯罪歴など)を第三者に提供する場合、原則として本人の明示的な同意が必須で、通常の個人データで認められる「オプトアウト方式」は使えません。ただし、法令に基づく場合や、生命・身体・財産の保護のために必要かつ本人同意を得ることが困難な場合など、個人情報保護法第27条第1項各号に定められた限定的な例外に該当すれば、同意なしの提供も可能となります。

2026年に報じられた個人情報保護法改正案では、病歴や犯歴といった要配慮個人情報についても本人同意なしに第三者提供できる場面を広げる方向で議論が進み、弁護士から課題が指摘されているとの報道がありました。中小企業や士業事務所も、顧客や従業員の要配慮個人情報を扱う場面は珍しくありません。そこで本記事では、現行法における第三者提供の同意ルールと例外規定を、条文と個人情報保護委員会のガイドラインに沿って整理します。

本記事は、AI法令調査ツール「ことのり」で実際に検索した結果(関連条文・出典リンク付き)をもとに編集した参考情報です。個人情報保護法は改正議論が続いており、実務上の取扱いは施行時期や個人情報保護委員会の解釈によって変わる可能性があります。具体的な運用判断は、必ず一次情報(e-Govの条文および個人情報保護委員会のガイドライン)を確認するとともに、必要に応じて弁護士等の専門家にご相談ください。

要配慮個人情報とは何か

「要配慮個人情報」とは、不当な差別や偏見、その他の不利益が生じないよう取扱いに特に配慮を要する個人情報のことを指します。個人情報保護法第2条第3項および同法施行令第2条で定義されており、具体的には次のような情報が該当します。

  • 人種、信条、社会的身分
  • 病歴、犯罪の経歴、犯罪被害に関する情報
  • 身体障害、知的障害、精神障害(発達障害を含む)などの心身の機能の障害
  • 健康診断等の結果
  • 医師等による指導・診療・調剤の事実
  • 逮捕・捜索・勾留等の刑事事件に関する手続
  • 少年の保護事件に関する手続

これらは、通常の個人データよりも一段厳しいルールで扱う必要があります。

第三者提供の原則ルール

原則は「あらかじめ本人の同意」

個人情報取扱事業者が個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得る必要があります(個人情報保護法第27条第1項)。この原則は、通常の個人データにも要配慮個人情報にも共通して適用される基本ルールです。

要配慮個人情報にはオプトアウトが使えない

通常の個人データについては、一定の要件を満たせば「本人の求めに応じて第三者提供を停止する」旨をあらかじめ公表しておくことで、個別同意を得ずに提供する「オプトアウト方式」が認められています(法第27条第2項)。しかし、要配慮個人情報についてはこのオプトアウト方式は使えず、同項ただし書きで明確に除外されています。

この点は、個人情報保護委員会が公表する通則編ガイドライン外国にある第三者への提供編ガイドラインガイドラインに関するQ&Aにおいても繰り返し明記されており、要配慮個人情報を第三者に提供するには、原則として本人の明示的な同意が不可欠とされています。

利用目的の範囲内であること

そもそも個人情報は、取得時に特定した利用目的の達成に必要な範囲を超えて取り扱うことはできません(法第18条第1項)。第三者提供もこの利用目的の枠内で行う必要があるため、同意取得の際は「どの情報を、どこに、何のために提供するのか」を具体的に説明することが求められます。

同意なしで提供できる例外規定

法第27条第1項各号には、本人同意なく第三者提供が可能となる例外が列挙されています。要配慮個人情報についても、これらの例外に該当すれば同意なしでの提供が可能です。

1. 法令に基づく場合

法令の規定により個人データの提供が義務付けられている場合がこれに当たります。

2. 生命・身体・財産の保護

人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難であるときは、同意なく提供できます。

3. 公衆衛生・児童の健全育成

公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得ることが困難であるときも例外に当たります。

4. 国の機関等への協力

国の機関もしくは地方公共団体、またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることでその事務遂行に支障を及ぼすおそれがある場合も例外となります。

5. 学術研究機関等による提供

提供元または提供先が学術研究機関等であり、学術研究の成果公表・教授・共同研究のためやむを得ないときなど、法第27条第1項に規定された条件を満たす場合は、同意なしでの提供が認められています(個人の権利利益を不当に侵害するおそれがある場合を除きます)。

「第三者」に当たらない類型

法第27条第5項では、次の類型はそもそも「第三者」に該当せず、第三者提供の同意規制の対象外となります。要配慮個人情報についても同様です。

委託

利用目的の達成に必要な範囲内で、個人データの取扱いの全部または一部を委託することに伴って個人データが提供される場合です。委託先に対しては、安全管理措置の徹底など適切な監督が求められます。

事業承継

合併その他の事由による事業の承継に伴って個人データが提供される場合です。

共同利用

特定の者との間で共同利用される個人データが当該特定の者に提供される場合であって、共同利用する項目、範囲、利用目的、管理責任者などをあらかじめ本人に通知し、または本人が容易に知り得る状態に置いているときが該当します。

なお、要配慮個人情報の「取得」についても、法第20条第2項に同意不要となる例外が定められています。施行令第9条第2号では、法第27条第5項各号に掲げる場合において個人データである要配慮個人情報の提供を受けることが、本人同意なく取得できる場合とされています。

実務で押さえておきたい留意点

  • 同意取得はプロセスを明確にする:提供する情報の種類、提供先、利用目的を具体的に説明し、本人が理解した上で同意できる状態を整えます。
  • 例外規定は厳格に解釈する:同意不要の例外は限定的です。安易な適用は法違反リスクにつながります。
  • 委託・共同利用は「例外」ではなく「別枠」:同意は不要ですが、契約や公表事項の整備など、別のルールが課されます。
  • 漏えい時の対応体制:要配慮個人情報を含む個人データの漏えい等が発生した場合、個人情報保護委員会への報告義務や本人への通知義務が生じる可能性があります(通則編ガイドライン参照)。

条文の原文も、その場で確認できます

本記事で触れた個人情報保護法の条文や個人情報保護委員会のガイドラインは、AI法令調査ツール「ことのり」でも同じテーマの検索が可能です。関連条文と一次情報リンクをまとめて確認できます。

要配慮個人情報の第三者提供をことのりで調べる

よくある質問

Q1. 要配慮個人情報の第三者提供でオプトアウト方式は使えますか?

使えません。個人情報保護法第27条第2項ただし書きにより、要配慮個人情報はオプトアウト方式の対象から除外されています。個人情報保護委員会の通則編ガイドラインでも、要配慮個人情報の第三者提供には原則として本人の明示的な同意が必要であることが明記されています。

Q2. 委託先に要配慮個人情報を渡す場合も本人同意が必要ですか?

委託に伴う提供は法第27条第5項により「第三者提供」に該当しないため、本人同意は不要です。ただし、委託は利用目的の達成に必要な範囲内で行う必要があり、委託先に対しては安全管理措置の徹底など適切な監督が求められます。

Q3. 本人同意なしで要配慮個人情報を第三者に提供できるのはどんな場合ですか?

法第27条第1項各号に定められた例外に該当する場合です。具体的には、法令に基づく場合、人の生命・身体・財産の保護のために必要で本人同意を得ることが困難な場合、公衆衛生の向上や児童の健全な育成のために特に必要な場合、国の機関等への協力が必要な場合、学術研究機関等による所定要件を満たす提供の場合などが該当します。いずれも要件が限定的であり、厳格な解釈が必要です。

出典(一次情報)

※本記事はAIによる調査支援を活用して作成した参考情報です。制度の詳細や最新の取扱いは、必ず一次情報および専門家にご確認ください。

関連する「使い方」ページ

関連する法令コラム