令和５年３月17日、犯罪対策閣僚会議において策定された「ＳＮＳで実行犯を募集する    手口による強盗や特殊詐欺事案に関する緊急対策プラン¹」において、政府として、個人情報の  適正な取扱いの確保を図るため、広報・啓発を推進することとしています。

つきましては、個人情報取扱事業者（NPO法人や自治会・町内会、同窓会、PTAのほか、   サークルやマンション管理組合なども、個人情報取扱事業者に該当し得ます。）に対し、個人情  報の保護に関する法律（平成15年法律第57号。以下「法」という。）に則り、個人情報を適正に取り扱っていただくよう、下記のとおり注意喚起しますので、御留意ください。

　　　　　　　　　　　　　　　　　記

１．名簿等の個人情報の取得について

個人情報取扱事業者は、名簿等の個人データを第三者に提供するに当たっては、原則として、本人の同意を得る必要がありますが（法第27条第１項）、所定の事項（事業者の   名称、住所、代表者の氏名、個人データの取得の方法や提供する項目等）について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、当委員会に届け出た場合には、本人の同意を得ることなく、個人データを第三者に提供することができます（法第27 条第２項。オプトアウトによる第三者提供）。当委員会ではオプトアウト届出のあった事業者 をホームページで公表しています。

個人情報取扱事業者は、第三者から名簿等の個人データの第三者提供を受けるに際し ては、提供元の個人データの取得の経緯等を確認する必要があります（法第30条）。特

に、個人情報取扱事業者からオプトアウトにより個人データの第三者提供を受ける場合には、当委員会のホームページ上で、当該事業者がオプトアウト届出をしていることを確認して下さい。提供元の個人情報取扱事業者がオプトアウト届出を行っておらず、また、本人同意も得て いない場合には、当該事業者から名簿等を取得しないようご注意ください（提供元が法第27  条第１項に違反して個人データを提供しようとしていることを知り、又は容易に知ることができるにもかかわらず、当該個人データを取得した場合には、法第20条第１項に違反するおそれが   あります）。

なお、オプトアウト届出事業者でも、偽りその他不正な手段により取得した個人データや本人の人種、信条、社会的身分、病歴、犯罪の経歴などの要配慮個人情報を含む個人データ を、オプトアウトにより提供することは禁じられています。また、外国にある第三者に提供する場    合は、法第28条に基づき、原則として、本人の同意をあらかじめ取得する必要があります。

「ＳＮＳで実行犯を募集する    手口による強盗や特殊詐欺事案に関する緊急対策プラン¹」

https://www.kantei.go.jp/jp/singi/hanzai/kettei/230317/honbun-1.pdf

個人情報保護委員会ウェブサイト：オプトアウト届出書検索

https://www.ppc.go.jp/personalinfo/preparation/optout/publication_2021/

個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）

 https://www.ppc.go.jp/files/pdf/220908_guidelines03.pdf

２．個人データの安全管理措置について

個人情報取扱事業者は、法第23条に基づき、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理措置のために必要かつ適切な措置を講じる必要があります。また、法第24条に基づき、その従業者に個人データを取り扱わせるに当たって は、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を     行う必要があるほか、法第25条に基づき、個人データの取扱いを委託する場合には、その取     扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する、必要かつ 適切な監督を行う必要があります。万一、社内の個人情報が従業員や委託先等から流出し た場合、事業者としてこれらの義務を果たしていないと評価される場合もあります。

個人情報取扱事業者においては、「個人情報の保護に関する法律についてのガイドライン（通則編）」に従って、その業務上取り扱う顧客名簿や従業員名簿の漏えい等（従業者や  委託先による不正持ち出しを含む）の防止のために、必要かつ適切な措置を講じてください。

なお、個人情報の適正な取扱いに当たっては以下の資料も参考にしてください。

○個人情報の保護に関する法律についてのガイドライン（通則編）- 10 （別添）講ずべき安全管理措置の内容

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10

○（動画）政府インターネットテレビ「個人情報保護法上の安全管理措置」

https://nettv.gov-online.go.jp/prg/prg25177.html

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

【参　考】

個人情報の保護に関する法律（平成15年法律第57号）（抄）

（適正な取得）

第二十条   個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

２ （略）

（安全管理措置）

第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

（従業者の監督）

第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

（委託先の監督）

第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対 する必要かつ適切な監督を行わなければならない。

（第三者提供の制限）

第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

（略）

２ 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、 本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定によ り提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）である場合  は、この限りでない。

一   第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっ    ては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条

第一項第一号において同じ。）の氏名

二  第三者への提供を利用目的とすること。三    第三者に提供される個人データの項目

四  第三者に提供される個人データの取得の方法五    第三者への提供の方法

六      本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

七 本人の求めを受け付ける方法

八      その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

3～6 （略）

（外国にある第三者への提供の制限）

第二十八条 個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。）（個人の権利利益を保護する上   で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国    として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同

じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業 者が講ずべきこととされている措置に相当する措置（第三項において「相当措置」という。） を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。）に個  人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国 にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

２ 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保  護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

３ 個人情報取扱事業者は、個人データを外国にある第三者（第一項に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところ    により、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

（第三者提供を受ける際の確認等）

第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。

一  当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名二    当該第三者による当該個人データの取得の経緯

２   前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

３ 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る  事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければな らない。

４ 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報 保護委員会規則で定める期間保存しなければならない。

ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。

一  当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名二    当該第三者による当該個人データの取得の経緯

２   前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

３ 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る  事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければな らない。

４ 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報 保護委員会規則で定める期間保存しなければならない。