この記事でわかること
- 個人情報保護法の共同利用要件: グループ間でデータを共有するために満たすべき4要件と、既存プライバシーポリシーで対応できるケースの考え方
- 委託と第三者提供の境界: データの「利用主体」が変わるか否かで区別する考え方と、AIツール活用時の委託範囲の確認軸
- 下請法の注意点と実務チェックリスト: 親子会社間取引における資本金要件・取引類型の確認と、クロスセル開始前に確認すべき15項目
基本情報
| 項目 | 内容 |
|---|---|
| 対象 | HD法務部・各事業会社のコンプライアンス担当・経営企画部(部長〜担当課長クラス) |
| 難易度 | 中級 |
| 関連クラスター | C3:グループ横断・HD型のクロスセル |
| 読了目安 | 5分 |
子会社間クロスセルに関わる法的論点の全体像——個人情報保護法・下請法・委託vs第三者提供・セキュリティガバナンスの4領域
なぜ子会社間クロスセルに法的整理が必要か
グループ横断のクロスセルを推進しようとするとき、最初に議論になるのが「子会社間で顧客データを共有してよいか」という法的論点です。2025年の日本国内M&A件数は5,115件(過去最多)に達し、グループ会社が増加する中で、この問いに直面する経営企画・法務担当者は増えています。
本記事は法律上のアドバイスを提供するものではなく、推進担当者が判断に使える論点整理として設計しています。具体的な対応は法務専門家への確認を推奨します。
グループ横断クロスセルの基礎的な考え方についてはグループ横断クロスセルとは——単一企業との本質的な違いも参照してください。
グループ会社は法律上「別会社」——同一グループでも個人情報保護法が適用される
「同じグループだから共有してよい」という感覚は、法律上通用しません。個人情報保護法は、法人格が異なる組織間のデータ移転を「第三者提供」として扱うのが原則です。持株会社(HD)傘下の事業会社であっても、法律上は互いに独立した「別会社」であり、顧客の個人情報を共有する際にはその根拠が必要になります。
ある法務責任者は、「共同利用の要件は多くの場合既存のプライバシーポリシーで対応可能」と指摘しています。一方で、「プライバシーポリシーに記載があれば何でも共有できる」という誤解も多く、実際には共同利用の4要件がすべて満たされているかを確認する必要があります。
親子会社間の取引で下請法が問題になる2つの局面
下請法の問題は、データ共有そのものではなく、グループ内の「役務提供委託」の構造に起因します。具体的には、①親会社から子会社に営業支援業務を委託する場合と、②子会社から親会社にバックオフィス業務を委託する場合の2つで、資本金規模によっては下請法の「親事業者」の義務が発生することがあります。
「同じグループだから共有してよい」が通じない理由
法律は、グループ内部の資本関係よりも「本人への周知・通知の有無」を重視します。顧客が自分の情報がどの会社に渡るかを知らされていない状態でのデータ共有は、たとえグループ内であっても違法となる可能性があります。プライバシーポリシーへの記載という「事前の周知」が、グループ間データ共有の法的根拠となります。
個人情報保護法の「共同利用」——グループ間データ共有の正規ルート
個人情報保護法では、グループ内でのデータ共有を適法に行う手段として「共同利用」の仕組みを用意しています。第三者提供(原則として本人同意が必要)とは異なり、共同利用では4要件を満たした上でプライバシーポリシーに記載することで、本人の個別同意なしにグループ内でデータを活用できます。
顧客名簿の統合実務については統合後の顧客名簿をどう統合するかで詳しく解説しています。
共同利用と第三者提供の分岐フロー——4要件を満たすか否かで対応が変わる
共同利用の4要件(利用目的・項目・範囲・管理責任者の明示)
個人情報保護法上の共同利用が有効になるには、以下の4要件をプライバシーポリシー等に明示する必要があります。
- 利用目的: 共同利用の目的(例: グループ横断の営業活動、サービス改善)
- 共同利用するデータ項目: 共有する個人情報の具体的な項目(例: 会社名・役職・メールアドレス)
- 共同利用者の範囲: データを共有するグループ会社の名称または範囲の明示
- 個人情報の管理責任者: 共同利用に関する問い合わせ先となる組織または担当者
これらの要件が1つでも欠けている場合、共同利用としての法的効力は認められません。設計段階で4要件を整理した上でプライバシーポリシーに反映することが重要です。
プライバシーポリシーへの記載——大企業では記載済みのケースが多い
ある法務責任者の指摘によれば、大企業グループの多くは既存のプライバシーポリシーに共同利用の記載があるケースが少なくありません。グループ再編や子会社追加の際にポリシーが更新されていないことや、記載はあるが4要件のすべてを網羅していないケースもあるため、現行ポリシーの確認が先決です。
| 論点 | 共同利用(正規ルート) | 第三者提供(原則不可) |
|---|---|---|
| 定義 | グループ内の特定組織間で、あらかじめ共有することを本人に周知した上でデータを活用 | グループ外の独立した第三者にデータを提供 |
| 本人同意 | 不要(プライバシーポリシーへの記載で代替可) | 原則必要(例外規定あり) |
| プライバシーポリシー | 利用目的・データ項目・共同利用者の範囲・管理責任者の明示が必要 | 第三者提供の定めを記載 |
| 実務上の難易度 | 既存ポリシーへの追記で対応可能なケースが多い | 全顧客の同意取得が必要で事実上困難 |
個人名を含まないデータ設計で法的リスクを構造的に下げる方法
クロスセル推進において、個人名を保持せずに企業名・役職レベルで運用する設計は、個人情報保護法の適用範囲を意図的に外すアプローチとして有効です。顧客データが「どの企業のどの部門が何を購入したか」という企業属性情報で構成されている場合、個人情報には該当しないケースがあります。
個人情報を共有せずにクロスセルを推進する具体的な方法については個人情報を共有せずにクロスセル推進する設計で詳しく解説しています。
委託と第三者提供——境界はどこにあるか
個人情報保護法上の「委託」と「第三者提供」の違いは、実務担当者が最も混乱しやすい論点の一つです。この区別を誤ると、本来委託として処理できるデータ共有に対して不必要な同意取得を求めたり、逆に第三者提供に当たる処理を委託として処理してしまうリスクが生じます。
委託と第三者提供の比較——データの利用主体が変わるか否かが判断の核心
委託とは——目的の達成を外部に依頼する関係
「委託」とは、個人情報の取扱いを目的の範囲内で外部の事業者に依頼することを指します。重要なのは、データの利用主体は委託元(提供する側)のまま変わらないという点です。委託先はあくまでも委託元の指示に従って処理を行う立場にあります。
たとえば、HDが事業会社に顧客データの分析処理を依頼する場合で、分析結果の利用主体がHDである場合は「委託」と整理できます。この場合、個人情報保護法上は第三者提供に該当せず、本人同意なしに処理を進められます。
第三者提供との違い——データの「利用主体」が変わるか否か
「第三者提供」は、データの利用主体が変わる場合に該当します。たとえば、事業会社Aが自社の顧客データを事業会社Bに渡し、事業会社Bが独自の判断でそのデータを活用する場合は第三者提供に当たります。グループ内の提供であっても、利用主体が移転すれば第三者提供として扱われます。
AI活用時の委託範囲——学習利用と目的外利用の境界
AIツールへの顧客データ投入が増加している中で、委託範囲の確認は特に重要です。一般的なBtoB向けAIサービスでは「顧客のデータは学習に使用しない」と規約に明記されているケースがありますが、汎用AIサービスではデータが学習に利用される場合があります。
AIへのデータ投入が「委託」の範囲内であれば本人同意なく実施できますが、そのデータがAIの学習に利用される場合は「委託範囲外の利用」、すなわち第三者提供に該当する可能性があります。データ処理が国内サーバーで完結し、学習利用が委託範囲内に限定されているサービスを選択することがリスク回避の観点から重要です。
下請法——グループ会社間取引での注意点
下請法は、中小企業の保護を目的として1956年に制定された法律です。親事業者が下請事業者に対して不当な代金減額や受領拒否を行うことを禁止しており、グループ会社間の取引にも適用される場合があります。
下請法が適用される「資本金要件」と「取引類型」
下請法の適用は、発注者(親事業者)と受注者(下請事業者)の資本金規模の組み合わせと取引類型によって決まります。役務提供委託の場合、発注者の資本金が5,000万円超かつ受注者の資本金が5,000万円以下の場合に下請法が適用されます(大企業同士の取引は原則対象外です)。
グループ内の取引であっても、この資本金要件に該当する場合は下請法の「親事業者」として書面交付義務・不当な代金減額の禁止・支払期日の遵守等の義務が生じます。
親会社から子会社への役務提供委託で発生しやすい論点
実務上で問題になりやすいのは、①発注書を交付せずに役務を依頼していた、②取引終了後に代金を減額していた、③役務の成果物の受領を一方的に拒否していた、という3つのケースです。グループ内取引では「社内のやりとり」として処理されがちですが、下請法の観点では対外取引と同様の要件が求められます。
グループ内の取引構造を契約設計でカバーする考え方
グループ内の役務提供委託については、①取引の都度発注書を交付する仕組みを整備する、②対価設定の合理的な根拠を文書化する、③支払期日を下請法の要件(役務提供後60日以内)に適合させるという3点を基本に契約設計を整備することが推奨されます。具体的な設計は法務部門との確認が必要です。
グループ経営の構造的な違いについてはグループ経営とクロスセル——HD型・事業部制での実装の違いも参照してください。
実務チェックリスト——クロスセル開始前に確認すべき法的論点
子会社間クロスセルの実務チェックリスト——個人情報保護法・下請法・セキュリティガバナンスの3領域15項目
クロスセル推進を開始する前に、以下の15項目を確認してください。法的判断の最終的な判断は必ず法務専門家に委ねてください。
個人情報保護法チェック(6項目)
- グループのプライバシーポリシーに共同利用の記載があるか
- 利用目的・共有するデータ項目が明示されているか
- 共同利用者の範囲(どの子会社が対象か)が明示されているか
- 個人情報の管理責任者が特定されているか
- 共有するデータに個人名等の直接識別情報を含まない設計か
- 海外サーバーへのデータ移転が発生しないか(移転する場合は追加要件の確認が必要)
下請法チェック(4項目)
- 親子会社間の資本金要件が下請法の適用基準に該当するか
- 取引類型が「役務提供委託」に当たる可能性があるか
- 発注書・検収・代金支払の手続が下請法の義務に適合しているか
- 役務提供の対価設定が「不当に低い」とみなされるリスクがないか
セキュリティ・ガバナンスチェック(5項目)
- 事業会社間のアクセス権限ゾーニングが設計されているか
- 競合関係にある顧客のデータが意図せず混在しない仕組みがあるか
- AIツールへのデータ投入が委託範囲内に限定されているか
- データフロー図(どのデータがどこに保存され誰がアクセスできるか)が作成されているか
- 導入先が要求するセキュリティチェックリストへの対応資料が準備されているか
大規模企業への導入では、10枚以上のセキュリティチェックリストへの対応が初回商談のスピードを左右するケースが報告されています。法的チェックと並行して、事前にセキュリティ対応資料を整備しておくことが実務上の重要なポイントです。
よくある質問(FAQ)
Q1. グループ会社間でデータを共有するために、全顧客から新たに同意を取り直す必要がありますか?
個人情報保護法の「共同利用」の要件(利用目的・共有データ項目・共同利用者の範囲・管理責任者の明示)を満たした上でプライバシーポリシーに記載している場合、原則として新たな同意取得は不要です。大企業では既存のプライバシーポリシーに共同利用の記載があるケースも少なくなく、記載内容の確認と必要であれば追記対応で処理できる場合があるとされています。具体的な判断は個人情報保護委員会のガイドラインおよび法務専門家への確認を推奨します。
Q2. 個人名を含まない企業レベルのデータにも個人情報保護法は適用されますか?
個人名・個人識別符号等を含まない純粋な企業属性データ(企業名・業種・取引金額・役職レベル等)は、個人情報保護法上の「個人情報」に該当しない場合があります。クロスセル推進において、個人名を保持せずに企業名・役職レベルで運用する設計は、個人情報保護法の適用範囲を意図的に外すアプローチとして有効です。ただし、役職・氏名等を組み合わせることで個人が特定できる場合は個人情報に該当するため、設計段階での確認が必要です。
Q3. 下請法はグループ会社間の取引にも適用されますか?
下請法はグループ会社間の取引にも適用される場合があります。適用の可否は「資本金要件(発注者と受注者の資本金額の組み合わせ)」と「取引類型(製造委託・役務提供委託等)」の両方を確認する必要があります。親会社が子会社に役務提供を委託する場合、資本金規模によっては下請法上の「親事業者」として書面交付義務・不当な代金減額の禁止等の義務が生じることがあります。グループ内の取引構造と契約設計を法務部門と確認することが推奨されます。
Q4. 汎用AIに顧客データを入力してクロスセル候補を生成することに法的リスクはありますか?
汎用AIサービス(海外サーバーベース)に顧客データを入力する場合、データの海外移転・AIによる学習利用・第三者提供への該当という3つの法的リスクが発生する可能性があります。個人情報保護法上、AIへのデータ投入は「委託」の範囲内であれば本人同意なく実施できますが、そのデータがAIの学習に利用される場合は「委託範囲外」の利用とみなされ、第三者提供に該当する可能性があります。データ処理が国内サーバーで完結し、学習利用が委託範囲内に限定されているサービスを選択することがリスク回避の観点から重要です。
Q5. プライバシーポリシーに共同利用の記載がない場合、追記だけで対応できますか?
共同利用の記載をプライバシーポリシーに追記することは、法的要件を満たすための一つの方法です。追記する際には、①利用目的、②共同利用するデータ項目、③共同利用者の範囲(どの子会社が対象か)、④個人情報の管理責任者の4要件をすべて明示する必要があります。追記後は、既存顧客への周知方法(メール通知・ウェブサイト上での告知等)についても確認が必要です。具体的な対応手順は個人情報保護委員会のガイドラインおよび法務専門家への相談を推奨します。
まとめ
主要ポイント
- 共同利用4要件の充足が出発点: グループ内でのデータ共有には「共同利用」の仕組みを活用できるが、利用目的・データ項目・共同利用者の範囲・管理責任者の4要件をプライバシーポリシーに明示することが必要。大企業では既存ポリシーで対応可能なケースも多い
- 委託 vs 第三者提供の区別は「利用主体が変わるか」: AIツールを含む外部への処理依頼が「委託」の範囲内に収まっているかを確認する。学習利用は委託範囲外となる可能性があり、国内処理・学習不使用のサービスを選ぶことがリスク回避の実務解
- 下請法は資本金要件と取引類型で適用を確認: グループ内であっても役務提供委託の構造によっては下請法が適用される。発注書の交付・対価設定の合理性・支払期日の遵守という3点を整備することで対応可能
子会社間クロスセルの法的論点——3領域の関係性と対処の優先順位
次のステップ
- 現行のプライバシーポリシーを確認し、共同利用の4要件が記載されているかを確認する
- グループ内の役務提供委託について、資本金規模と取引類型の観点から下請法の適用可能性を法務部門と確認する
- クロスセル推進で使用するAIツールのデータ処理方針(国内処理・学習利用の有無)を契約前に確認する
関連記事
参考リソース
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2022年改正版)
- 公正取引委員会「下請取引の適正化について」
- 経済産業省「企業間取引データの活用のためのガイドラインの在り方に関する研究会 報告書」
- 経済産業省・個人情報保護委員会「DX時代における企業のプライバシーガバナンスガイドブック」