Pマークにおける共同利用とは？共同利用のための要件から、HP記載例まで徹底解説

「Pマーク運用で共同利用って何をすればいいの？」

「グループ会社と情報を共有してるけど、違反にならない？」

このような疑問をお持ちではありませんか？

Pマーク（プライバシーマーク）を取得・維持する企業にとって、「共同利用」は個人情報の取り扱いに関する重要な概念です。

しかし実務の現場では、「委託」や「第三者提供」と混同されやすく、法令やJIS規格の要件を正しく理解していないと、審査で不適合となるリスクもあります。

じつは、本人の同意なく共有できる「共同利用」という仕組みがあります。これは、個人情報保護法における「第三者提供の例外」にあたるもので、正しく運用するには厳密な対応が求められます。

この記事では、最新の法令とJIS Q 15001:2017に準拠しながら、「共同利用」に必要な要件、委託・第三者提供との違い、Pマーク審査での注意点、さらに実務でよく使われるホームページの記載例までを丁寧に解説します。

この記事を読むことで、「共同利用とは何か？」が明確になり、Pマークの審査や社内運用に自信を持って対応できるようになります。

１．Pマークにおける共同利用とは？

共同利用とは「特定の関係性にある事業者が、本人の同意を得ることなく個人情報を共同で利用できる仕組み」です。

これは、個人情報保護法で認められた法律上の例外規定のひとつです。

たとえば、親会社と子会社、フランチャイズ本部と加盟店、複数のグループ企業間で顧客情報を共有するケースが該当します。ただし、何でも自由に共有できるわけではなく、後述する5つの要件をすべて満たさなければなりません。

※なお、同じグループ企業や契約関係にある事業者であっても、実際の情報管理体制や事業実態によっては、共同利用と認められない場合があります。

共同利用は「同意を取らなくてよい」という利便性がある反面、条件を満たしていない場合は違法な第三者提供とみなされるリスクもあります。そのため、慎重な判断と体制整備が求められます。

２．委託・第三者提供との違いを正しく理解する

共同利用の実務では、「委託」「第三者提供」と混同しないことが重要です。

(1) 委託との違い

「委託」は、業務処理を外部に任せることです。

たとえばDM発送を外部業者に依頼するケースが該当します。この場合、個人情報の管理責任は依頼した会社にあります。つまり、責任は委託元に残るのです。

一方で共同利用は、各事業者が個人情報を自らの意思で利用し、それぞれが管理責任を負います。責任の所在が明確に分かれている点が大きな違いです。

(2) 第三者提供との違い

第三者提供は、本人の同意が原則的に必要な情報提供です。

共同利用はこの「第三者提供」の例外として扱われるため、要件を満たさないと「同意なき違法提供」として問題になります。

共同利用の場合は、本人の同意を省略できる代わりに、法令で定められた公開義務などが発生するという仕組みです。

３．共同利用に必要な5つの要件

共同利用は、次の5つの要件をすべて満たす場合にのみ合法とされます。これらは、Pマークの審査においてもチェックされる重要なポイントです。

① 利用目的を明示すること

情報を何のために使うのか、具体的な目的を本人に知らせなければなりません。

例：「当社およびグループ会社による商品発送、問い合わせ対応のため」

② 共同利用される個人情報の項目を明示すること

氏名、住所、電話番号、購入履歴など、どの情報を使うのかを明確にします。

③ 共同利用する者の範囲を明示すること

グループ会社、加盟店、関連団体など、具体的な法人名または範囲を示す必要があります。

④ 管理責任者の氏名・所属・連絡先を明示すること

誰がその情報を管理しているのかを明示し、責任の所在を明確にします。

⑤ 本人が知り得る状態にすること

本人がこれらの情報を「知ることができる状態」にしておく必要があります。ホームページのプライバシーポリシーに記載するのが一般的です。

４．Pマーク審査における共同利用のチェックポイント

共同利用を行っている企業では、Pマーク審査で以下の点がチェックされます。

(1) 実施の有無と内容確認

審査官はまず「共同利用をしているか」を確認します。グループ会社間の情報共有などが該当する場合、詳細な内容がヒアリングされます。

(2) 社内体制とルール整備

共同利用の運用ルールが文書化され、マニュアルや規程に反映されているかをチェックされます。たとえば、「共同利用に関する承認フロー」「内容変更時の手続き」などが求められる場合もあります。

(3) 公開方法と内容の適正性

本人に周知する方法として、「プライバシーポリシー」などに記載しているかが確認されます。さらに、その記載内容が5つの要件を満たしているか、わかりやすくなっているかも重視されます。

５．ホームページでの記載例

共同利用を行う場合は、ホームページのプライバシーポリシーなどに次のような形式で記載します。

【記載例】

当社は以下のとおり、個人情報を共同利用する場合があります。

• 共同利用する目的：サービス提供、アフターサポート対応のため
• 共同利用する個人情報の項目：氏名、住所、電話番号、メールアドレス、購入履歴など
• 共同利用する者の範囲：当社グループ各社（〇〇株式会社、△△株式会社）
• 管理責任者：株式会社〇〇　個人情報管理責任者（連絡先：xxxx@example.co.jp）

記載の際は、必ず最新の内容に保つよう注意しましょう。内容が古いままになっていた場合、Pマークの更新審査で指摘されることがあります。

６．よくある誤解と注意点

実務で多い誤解と、それに対する注意点を以下にまとめます。

(1) グループ会社との共有なら自動的にOK？

グループ内でも共同利用として正当化されるには、5つの要件をすべて満たす必要があります。「同じグループだからOK」は誤解です。

(2) 同意を取っていれば共同利用できる？

「同意」と「共同利用」は別物です。本人の同意を得たうえで第三者提供することは可能ですが、それをもって「共同利用」と呼ぶことはできません。

(3) ホームページに書いていれば問題ない？

掲載していても、内容が不十分だったり更新されていなかったりすると、要件を満たさないと判断されます。公開内容の定期的な見直しが必要です。

７．まとめ

共同利用は、Pマーク制度においても実務上重要なテーマです。特に、グループ会社・フランチャイズ・業務提携先との情報共有がある企業では、「委託」「第三者提供」との違いや法的要件を正しく理解し、文書化・公開対応を行うことが不可欠です。

今回ご紹介した内容をもとに、以下をぜひ見直してみてください。

• 共同利用の有無を社内で再確認する
• 5つの要件を満たす運用体制ができているか確認する
• ホームページの記載内容が最新かつ正確かチェックする

これらを徹底することで、Pマークの審査でも自信を持って対応できるようになります。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する