自社のEC サイトにおいて不正な取引が行われている可能性があるため、警察の捜査や被害の防止対策に役立てることができるよう、警察に情報提供することを考えています。本人の同意を得ずに情報提供することは可能ですか。

個人データを第三者に提供する際には、原則として、あらかじめ本人の同意を得る必要がありますが、「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」は、本人の同意は不要です（法第27 条第１項第４号）。

したがって、例えば、EC サイトの運営事業者が、被害に遭った顧客からの通報や独自の監視等により犯罪を構成する可能性のある不正な取引又は当該不正な取引と合理的に疑われる取引（以下本項において「不正取引等」という。）を把握した場合において、当該不正取引等を行っている者に関する個人データ（例えば、氏名、住所、電話番号、顔画像）を警察に提供しなければ、警察の所掌事務（例えば、サイバー事案に関する警察に関する事務）の適切な遂行に支障が生じるおそれがあると認められるときは、当該事業者は、必要最小限の範囲で、当該個人データを当該不正取引等を行っている者の同意なく警察に提供することが可能と考えられます。そして、被害に遭った顧客からの通報があった場合、当該通報に係る取引のみならず、当該取引と同じ特徴を有する取引等についても、不正取引等に該当し得ると考えられます。

ただし、この場合でも、上記個人データが、被害に遭った顧客等に関する個人データでもあるときには、原則として、上記提供に際してあらかじめ当該顧客等の同意を得る必要があります。もっとも、例えば、当該顧客等が多数にのぼり、同意を取得するための時間的余裕や費用等に照らし、その全てから同意を得ることが事実上不可能な場合等、当該顧客等の同意を得ることにより上記警察の所掌事務の遂行に支障を及ぼすおそれがあるときは、上記提供に際して当該顧客等の同意を得る必要はありません。

なお、個人データを警察に提供して新たな不正取引の発生による顧客の財産等への危険を防止する必要がある場合等は「人の生命、身体又は財産の保護のために必要がある場合」に該当すると考えられますので、当該場合であって「本人の同意を得ることが困難であるとき」も、本人の同意は不要です（法第27 条第１項第２号）。
（令和７年６月追加）