本日，ある研究会に出ているときに題記の点が気になったので調べてみた。（この問題については板倉陽一郎弁護士からもご指摘をいただきました。ありがとうございます。）

(2/21 はっしーさんのコメントを受けて追記しています。）

一定の例外はあるが，個人情報を第三者に提供するには，本人の同意が必要だ（法23条1項）。そして，この同意は，利用規約などにしれっと「お客様からいただいた個人情報は，第三者に提供する場合があり，お客様はあらかじめこれに同意します。」みたいな記述があることで同意があったことしていることが少なくない。

もともと，個人情報を取得する際には，利用目的を通知・公表しなければならず（法18条），その利用目的を超える取り扱いには同意が必要とされている（法16条2項）*1。だから，利用者は，個人情報を提示する際には，その目的を見て妥当かどうかを判断する機会が与えられる。

しかし，第三者提供のような間接的な取得の場合，本人は，「第三者提供するよ」ということにだけ同意を与えてしまうと，それがどこの誰に渡るのか，それがどうやって使われるのかまったくわからないというのではバランスが悪い。法23条1項には，何について同意するのかは書かれていない。もちろん，提供先の事業者も，利用目的を公表しなければならないし，公表された目的の範囲内でしか利用できないが，本人は，誰に渡っているのかもわからないのだとすると，いくら利用目的を公表していたとしても，そこにリーチできない。リーチできたとしても，提供先での目的に反しているか，提供元で同意がなかったというような場合でなければ，利用停止請求ができない（法27条）。

法23条1項の同意は，いったい何について同意してもらうものなのか。

岡村*2246頁には，次のような記載がある。

同意を得る際に提供先の第三者を具体的に特定することを要するか。本項に基づき同意を取得する場合として，不特定多数人に向けて書籍販売し，もしくは情報ネットワークを用いて提供するような場合が含まれることを考えると，かかる特定を要しないと解すべきである。かく介しても，特定がないまま同意することに懸念を抱くのであれば，本人としては同意を与えなければ足りるから，それにより本人の権利利益は保護されうる。

前段の例が正直よくわかならいが，提供先は特定不要だとする。

経産省ガイドライン*312頁には，「同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」としか書かれていない。同ガイドラインのQ&A*4のQ96には，かなり古い記載だが，次のように書かれている。

Q 上記の場合、第三者提供先である関連ソフトウェア会社における利用目的（新商品の案内等）についても明示しなければならないのですか。

A 第三者提供先における利用目的について明示しなければならない法律上の義務はありません。顧客サービスの観点から検討することになります。(2005.1.14)

利用目的も明示しなくてもよい，と。あくまで顧客の利便性の観点から考えればよい，と。

しかし，提供先も提供先での目的も開示不要としたのでは，直接取得者に対する規制とのバランスをあまりにも失するように思う。宇賀*5118頁には，明快な記載がある。

個人データを提供する第三者が誰か，第三者に提供される個人データの内容，個人データの提供を受けた第三者がどのような利用を行うかを本人に明確に認識させた上で同意を得るようにすべきである。

さらに，この記述に続いて，金融分野のガイドラインでも，それに沿う記載があることを紹介している*6。

最近，第三者提供の例外（第三者にあたらない）である共同利用（法23条4項3号）に関し，「共同して利用する者の範囲」を抽象的に記載する例があったことが問題だとして，経産省ガイドラインQ&Aの変更が行われた*7。経産省ガイドライン49頁では，

共同利用者の範囲については，本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。
なお，当該範囲が明確である限りにおいては，事業者の名称等を個別にすべて列挙する必要がない場合もある。

としていて，個別列挙までは必要ないとしても，範囲は明確にしておくように，としている。共同利用とのバランスを考えても，23条1項の同意にあたっては，提供先の範囲として「共同して利用する者の範囲」と同程度には明確にしておくべきではないだろうか。

そして最後に紹介するのは，この種の分野ではもっとも新しいガイドラインである「消費者向けオンラインサービスにおける通知と同意・選択に関するガイドライン」*8。

3.2.9 第三者への提供
a) 個人識別可能情報を第三者に提供する場合があるか否かについて通知すること。
b) 個人識別可能情報を第三者に提供する場合には、提供先を通知すること。
　※ 提供先を個別に特定して通知することが望ましいが、提供先の範囲を特定して通知することもできる。
c) 個人識別可能情報を第三者に提供する場合には、提供先における利用目的を本人に通知すること。

ここでは，「通知」となっているが，法律上は「同意」が必要であり，その内容は，前掲宇賀とほぼ同じである。

今回の改正の骨子案では，トレーサビリティに関する規定が加えられる見込みだ*9。そうなると，不透明な同意を得て第三者提供した結果，炎上した場合，トレーサビリティ記録から提供者が明らかになる可能性が出てくる。炎上することを避けるためにも，23条1項の同意の際には，提供先の範囲，提供先での利用目的までを提示した上での同意であるべきではないか。仮に提供先での利用目的が明示されていないとした場合，あくまで，提供先では，提供元が明示した利用目的の範囲内での利用に留めるべきではないか。

このような制限は事業者にとっては負担になるかもしれない。しかし，いわゆるビッグデータ分析などを行う場合には，匿名加工情報として提供することになるだろうから，23条1項の同意を回避することができる。他方で，本人にリーチする必要がある利用形態の場合（DMを届けたい等）には，やはりリーチされる本人のプライバシー保護性が高まることから，透明性を高めるためにも，そのような制限もやむを得ないのではないか。

(2/21追記）
はっしーさんから，コメントをいただきました。いつもありがとうございます。

23条の建付けと，整合性についてのご指摘はそのとおりだと思います。当事務所の弁護士からも，23条2項とのバランスを考えると，提供先名称などまでも求める必要がないのではないかという指摘を受けました。私も，現行の条文のもとでは，提供先や提供先の利用目的まで提示しないと有効な同意ではないというところまでは言えないと思います。私の問題意識は，23条1項の同意によって，第三者提供が事実上フリーパスで行われるとなると，直接取得時の手続とのバランスが悪いというところにあり，そこをどうやって調整するかというところにあります。

なお，園部解説によっても，「実質的に同意」の内容とはどのようなものかということ，利用目的としての「第三者提供」とは具体化・特定した目的としているかということを突き詰めて考えていくと，上記の本文のような意見もあり得るのではないかと思った次第です。