個人データ管理事業届出

この届出は何のための制度か

「個人データ管理事業届出」として整理されているこの手続きは、実務上は個人情報保護法第27条第2項に基づく「オプトアウトによる第三者提供の届出」を指します。本人の同意を得ずに、本人がいつでも提供停止を求められる仕組み（オプトアウト）を整えたうえで個人データを第三者に提供する事業者が、個人情報保護委員会へあらかじめ届け出る制度です。名簿販売業者、データブローカー、DMP事業者など「保有する個人データを他社へ提供すること」自体を事業の柱にする事業者が主な対象になります。

通常の個人情報取扱事業者がアンケート結果を委託先に渡す、といった場面は対象外です。あくまで「本人同意なしの第三者提供を反復継続して行う」事業形態に課される届出だと理解してください。

届出に必要な事項

委員会への届出書には、おおむね次の事項を記載します。

• 提供する事業者の氏名・名称および住所
• 第三者提供の対象となる個人データの項目
• 個人データの取得方法
• 第三者への提供方法
• 本人の求めに応じて提供を停止すること
• 本人の求めを受け付ける方法
• データの取得の経緯（不正取得でないことの確認）

要配慮個人情報（病歴・犯罪歴等）は、そもそもオプトアウトでの第三者提供が禁止されており、届け出ても提供できません。また、オプトアウトで取得したデータを、さらにオプトアウトで再提供することも禁止されています。

申請の流れと費用

届出は個人情報保護委員会の電子届出システム、または郵送で行います。届出自体に手数料はかからず、受理されると委員会が届出内容を公表します。

費用の幅（0〜10万円程度）は、届出そのものではなく、社内の対応体制構築にかかる実費を見込んだものです。具体的には、オプトアウト受付窓口の設計、提供記録・受領記録の作成保存体制の整備、プライバシーポリシー改定、規程整備を行政書士・弁護士へ委託する場合の報酬などです。自社で対応すれば実費はほぼ無料です。

つまずきやすい点

• 取得経緯の記載が曖昧で、不正取得データでないことを示せず差し戻される
• 提供停止（オプトアウト）の受付方法が、本人にとって過重な手続きになっている
• 要配慮個人情報を提供項目に含めてしまっている
• 提供・受領の記録作成義務（法第29条・第30条）への対応が未整備

届出後の継続義務

届出は一度で終わりではありません。届出事項に変更が生じたとき、または提供を取りやめたときは、遅滞なく変更・廃止の届出が必要です。あわせて、第三者提供のたびに記録を作成し原則3年間保存する義務、安全管理措置を講じる義務が継続します。事業開始前に、届出と並行して記録保存・安全管理の運用フローを固めておくことが、後のトラブルを防ぐ実務上の要点です。