外国にある第三者が「相当措置」を継続的に講ずるために必要な体制の基準

IT・情報セキュリティ

 外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるために必要な体制を整備している場合には、個人情報保護法27条の規律が適用されることになりますが、この「相当措置を継続的に講ずるために必要な体制の基準」とはどのようなものでしょうか。

 A相当措置を継続的に講ずるために必要な体制の基準については、個人情報保護法施行規則16条に規定されています。

  1. 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。(1号)
  2. 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。(2号)

解説

目次

  1. 総論
  2. 相当措置を継続的に講ずるために必要な体制の基準とは(個人情報保護法28条1項、個人情報保護法施行規則16条)
  3. 個人情報保護法施行規則16条1号の趣旨
    1. 適切かつ合理的な方法(個人情報保護法施行規則16条1号、外国第三者提供編ガイドライン4-1)
    2. 個人情報保護法第4章第2節の規定の趣旨に沿った措置(個人情報保護法施行規則16条第1号、外国第三者提供編ガイドライン4-2)
    3. 国内グループ会社からの海外への委託
    4. 提供先が再委託する場合
    5. 提供元において氏名を削除するなどして個人を特定できないようにしている場合
凡例
外国第三者提供編ガイドライン
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年11月30日個人情報保護委員会告示第7号)のこと。

※本稿における改正法、施行規則の条文番号は、令和3年改正による改正後の条文番号です。

総論

 外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるために必要な体制を整備している場合には、個人情報保護法27条の規律が適用されることになります。

 この場合、個人情報取扱事業者は、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて必要な措置に関する情報を提供しなければなりません(個人情報保護法28条3項)。

 この場合の当該第三者は、個人情報保護法28条1項における「第三者」に該当しません。したがって、個人情報取扱事業者は、当該第三者への個人データの提供に際して、「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要はありません。

改正個人情報保護法の政令・規則案の要点(大和総研)をもとに編集部作成

参考:「改正個人情報保護法の政令・規則案の要点」図表7(大和総研)

 当該第三者への個人データの提供にあたっては、個人情報保護法27条の規定による次の①から④のいずれかの方法による必要があります。

  1. 本人の同意に基づき提供する方法(個人情報保護法27条1項柱書)
  2. 個人情報保護法27条1項各号に掲げる場合により提供する方法
  3. オプトアウトにより提供する方法(個人情報保護法27条2項)
  4. 委託、事業承継または共同利用に伴って提供する方法(個人情報保護法27条5項各号)

相当措置を継続的に講ずるために必要な体制の基準とは(個人情報保護法28条1項、個人情報保護法施行規則16条)

 相当措置を継続的に講ずるために必要な体制の基準として下記が定められています(個人情報保護法施行規則16条各号)。

  1. 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。(1号)

  2. 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。(2号)

 上記の各基準については、令和4年(2022年)4月1日施行の改正後も変更はありませんが、上記①の「個人情報保護法第4章第2節の規定の趣旨に沿った措置」に関しては外国第三者提供編ガイドライン4-2で求められる体制整備が追加されます。

 上記②の「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要があります。これには、提供先の外国にある第三者が、APECのCBPRシステムの認証を取得していることが該当します(外国第三者提供編ガイドライン4-3)。

個人情報保護法施行規則16条1号の趣旨

適切かつ合理的な方法(個人情報保護法施行規則16条1号、外国第三者提供編ガイドライン4-1)

 「適切かつ合理的な方法」は、個々の事例ごとに判断されるべきですが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保できる方法である必要があります。

 たとえば、次の事例が該当します。

事例 1
外国にある事業者に個人データの取扱いを委託する場合
→提供元および提供先間の契約、確認書、覚書等

事例 2
同一の企業グループ内で個人データを移転する場合
→提供元および提供先に共通して適用される内規、プライバシーポリシー等

 また、アジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システム 1 の認証を取得している事業者は、その取得要件として、当該事業者に代わって第三者に個人情報を取り扱わせる場合においても、当該事業者が本人に対して負う義務が同様に履行されることを確保する措置を当該第三者との間で整備している必要があることとされています。

  したがって、提供元の個人情報取扱事業者がCBPRの認証を取得しており、提供先の「外国にある第三者」が当該個人情報取扱事業者に代わって個人情報を取り扱う者である場合には、当該個人情報取扱事業者がCBPRの認証の取得要件を充たすことも、「適切かつ合理的な方法」の1つであると解されます。

個人情報保護法第4章第2節の規定の趣旨に沿った措置(個人情報保護法施行規則16条第1号、外国第三者提供編ガイドライン4-2)

 個人情報保護法28条の「この節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置」に該当するものは「個人情報保護法第4章第2節の規定の趣旨に沿った措置」(個人情報保護法施行規則16条1号)と規定されています。

 「個人情報保護法第4章第2節の規定の趣旨に沿った措置」については、外国にある第三者により個人データが取り扱われる場合においても、我が国の個人情報取扱事業者により個人データが取り扱われる場合に相当する程度の本人の権利利益の保護を図るという観点に加え、経済協力開発機構(OECD)におけるプライバシーガイドラインやAPECにおけるプライバシーフレームワークといった国際的な枠組みの基準も踏まえた国際的な整合性も勘案します。

 具体的には、外国第三者提供編ガイドライン4-2-1から4-2-20までに記述する事項について、「適切かつ合理的な方法」(上記①参照)に記述する方法によって担保されていなければなりません。

 個人情報取扱事業者は、契約等に外国第三者提供編ガイドライン4-2-1から4-2-20までに記述するすべての事項を規定しなければならないものではなく、「個人情報保護法第4章第2節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、外国にある第三者に提供された個人データに係る本人の権利利益の保護に必要な範囲で、「措置」の実施が確保されていれば足ります。

 外国第三者提供編ガイドライン4-2-1から4-2-20までにおいては、外国にある第三者への個人データの提供に関する典型的な事例として、【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、および【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合をあげ、外国にある第三者または提供元である日本にある個人情報取扱事業者が講ずべき措置の具体例が示されています。

 「個人情報保護法第4章第2節の規定の趣旨に沿った措置」は、以下の規定に関して講ずる必要があります。

規定の内容 個人情報保護法
利用目的の特定 17条
利用目的による制限 18条
不適正な利用の禁止 19条
適正な取得(要配慮個人情報の取得の規律(個人情報保護法17条2項)は除く) 20条
取得に際しての利用目的の通知等 21条
データ内容の正確性の確保等 22条
安全管理措置 23条
従業者の監督 24条
委託先の監督 25条
漏えい等の報告等 26条
第三者提供の制限(除くオプトアウト手続)(2項、3項) 27条
外国にある第三者への提供の制限 28条
保有個人データに関する公表等(第三者提供記録の開示関連手続) 32条
開示(除く第三者提供記録の開示関連手続) 33条
訂正等 34条
利用停止等 35条
理由の説明(除く第三者提供記録の開示関連手続) 36条
開示等の請求等に応じる手続(除く第三者提供記録の開示関連手続) 37条
手数料(除く第三者提供記録の開示関連手続) 38条
個人情報取扱事業者による苦情の処理 40条

 下記については、ここでいう「個人情報保護法第4章第2節の規定の趣旨に沿った措置」として外国にある第三者等が講ずべき措置には含まれません。

規定の内容 個人情報保護法
要配慮個人情報の取得に関する規律 20条2項
オプトアウトによる個人データの第三者提供 27条2項、3項
第三者提供時の確認・記録義務 29条、30条
個人関連情報の第三者提供に関する規律 31条
第三者提供記録の開示 33条5項
上記に関連するその他の手続等 32条、36条から38条までのうち、第三者提供記録の開示に関連する手続等

 日本にある個人情報取扱事業者から個人データの提供を受けた外国にある第三者が個人情報保護法166条(令和5年4月1日以降は171条)の要件を満たし、域外適用の対象となる場合であっても、これによりただちに個人情報保護法施行規則16条の基準を満たすこととなるわけではありません。

 同条の基準を満たすためには、別途、当該個人データの取扱いについて我が国の個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備することが必要です。

 この場合、当該外国にある第三者は、個人情報保護法166条(令和5年4月1日以降は171条)に基づき、上記の「個人情報保護法第4章第2節の規定の趣旨に沿った措置」として講ずべき措置に含まれない規律も含め、法の規定に従って当該個人データを取り扱う義務を負うことになります。

国内グループ会社からの海外への委託

 国内にある事業者Aが外国にある事業者との間で、Aのグループ会社の個人データの取扱いに係る委託契約を締結しており、Aの子会社であり、Aと同じ内規等が適用される国内にある事業者Bが、当該外国にある事業者に対して委託に伴って個人データを提供する場合、当該委託契約および当該内規等によって、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者の講ずべきこととされている措置に相当する措置を継続的に講ずることを実質的に担保することができる場合には、適切かつ合理的な方法に該当するものと考えられます(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新、以下Q&A)Q12-6)。

 この場合、提供先の外国にある第三者が施行規則16条に定める基準に適合する体制を整備していることを根拠として、事前の本人の同意を得ずに当該外国にある第三者に対して個人データの提供を行った場合には、個人情報取扱事業者は、法28条3項に基づき、当該外国にある第三者による相当措置(個人データの取扱いについて法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置)の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要があります。

提供先が再委託する場合

 提供先の外国にある第三者が施行規則16条に定める基準に適合する体制を整備していることを根拠として、個人データを提供した後、当該提供先がさらに別の「第三者」(再提供先)に当該個人データを再提供する場合において、当該「第三者」(再提供先)が本邦の域外にある国または地域にある者であるときは、当該提供先と同一国もしくは地域にあるか、または異なる国もしくは地域にあるかにかかわらず、当該提供先による当該「第三者」(再移転先)への個人データの移転について、法28条の規定の趣旨に沿った措置(外国第三者提供編ガイドライン4−2−12参照)の実施が確保される必要があります(Q&A Q12-7)。

 他方で、当該「第三者」(再提供先)が日本(またはEU加盟国・英国)にある者であるときは、当該「第三者」(再提供先)は、「外国にある第三者」(法28条1項)に該当しません。そのため、この場合には、当該提供先による当該「第三者」(再移転先)への個人データの移転について、法27条の規定の趣旨に沿った措置の実施が確保される必要があります。(Q&A Q12-7)

提供元において氏名を削除するなどして個人を特定できないようにしている場合

 外国にある第三者に対して、提供元において氏名を削除するなどして個人を特定できないようにして当該提供先にとっては個人情報に該当しないデータの取扱いを委託し、当該提供先が個人情報に復元することがないような場合で、委託契約において当該提供先が元となった個人情報を復元しないことが定められている等、当該提供先が元となった個人情報に係る本人を識別しないこととなっているときは、個人情報保護法施行規則16条に定める基準に適合する体制を整備しているものと解されます(Q&A Q12-8)。

 したがって、この場合、当該提供先は、法第28条1項における「第三者」に該当しないため、当該提供先に対する個人データの提供に際して、外国にある第三者への個人データの提供を認める旨の本人の同意を得る必要はありません。
 ただし、この場合であっても、提供元である個人情報取扱事業者は、当該提供先において元となった個人情報の復元がなされていないか等の定期的な確認を含め、当該提供先による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を提供する必要があります(法28条3項)。さらに、提供元である個人情報取扱事業者は、法25条に基づき当該提供先に対する監督義務を負うことに留意が必要です(Q&A12-8)。

令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

  1. 「OPEC CBPR システム」とは、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度です。APECの参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティエージェント(AA)を登録します。このAAが事業者について、その申請に基づきAPECプライバシーフレームワークへの適合性を認証します。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する