令和2年改正により外国にある第三者への個人情報を提供する場合の本人同意の取得方法と提供が必要な情報

IT・情報セキュリティ

 令和4年4月1日より、外国にある第三者へ個人情報を提供する場合に本人の同意が求められるようになりました。この同意はどのように取得すればよいでしょうか。

 個人情報取扱事業者は、外国にある第三者への提供を認める旨の本人の同意を得ようとする場合、下記3点について、あらかじめ本人に提供しなければなりません(個人情報保護法28条2項、個人情報保護法施行規則17条第2項)。

① 移転先となる外国の名称
② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
③ 第三者が講ずる個人情報の保護のための措置に関する情報

解説

目次

  1. 外国にある第三者に対して個人データを提供するには、あらかじめ本人の同意が必要
  2. 外国にある第三者への個人データの提供を認める旨の本人の同意とは(個人情報保護法28条1項)
    1. 本人の同意とは
    2. 外国にある第三者への提供を認める旨の本人の同意を取得する際に、本人に提供しなければならない情報
  3. 外国にある第三者とは(外国第三者提供編ガイドライン2-2)
    1. 提供先の外国事業者が日本に出張所を有する場合(Q&A Q12-5)
    2. 他の日本法人の外国支店に個人データを提供する場合(Q&A Q12-9)
    3. 外国にあるサーバに個人データを含む保存する場合(Q&A Q12-3)
    4. 外国事業者が運営するクラウド(Q&A Q12-4)
    5. 外国にある委託先に個人情報保護法の域外適用される場合(Q&A Q11-4)
  4. 同意取得時に本人に提供すべき情報の詳細(個人情報保護法28条2項、個人情報保護法施行規則17条2項、外国第三者提供ガイドライン編5-2)
    1. 提供が必要な情報① 移転先となる外国の名称(個人情報保護法28条2項、個人情報保護法施行規則17条2項1号)
    2. 提供が必要な情報② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度についての情報(個人情報保護法施行規則17条2項2号)
    3. 提供が必要な情報③ 当該第三者が講ずる個人情報の保護のための措置に関する情報(個人情報保護法施行規則17条2項3号)
  5. 提供する当該外国の名称を特定できない場合の対応(個人情報保護法施行規則17条3項、外国第三者提供ガイドライン編5-3-1)
    1. 特定できない旨およびその理由の情報提供(個人情報保護法施行規則17条3 項1号)
    2. 提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報の提供(個人情報保護法施行規則17条3項2号関係)
  6. 提供する第三者が講ずる個人情報の保護のための措置に関する情報を提供できない場合(個人情報保護法施行規則17条4項、外国第三者提供ガイドライン編5-3-2)
凡例
「外国第三者提供編ガイドライン」

個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年11月30日個人情報保護委員会告示第7号)のこと。

※本稿における改正法、施行規則および施行令の条文番号は、令和3年改正による改正後の条文番号です。

外国にある第三者に対して個人データを提供するには、あらかじめ本人の同意が必要

 令和4年(2022年)4月1日より、外国にある第三者に個人データを提供できる条件が下記のとおり改正されました。

出典:個人情報保護委員会

 「あらかじめ外国にある第三者への提供を認める旨の本人の同意」がある場合、個人情報取扱事業者は外国にある第三者に対して個人データを提供することができます(個人情報保護法28条1項)。

 個人情報取扱事業者は、外国にある第三者への提供を認める旨の本人の同意を得ようとする場合、下記3点について本人に提供しなければなりません(個人情報保護法28条2項、個人情報保護法施行規則17条2項)。これは、令和2年改正法で追加された要件です。

  1. 移転先となる外国の名称
  2. 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  3. 第三者が講ずる個人情報の保護のための措置に関する情報

 なお、ここでいう外国とは本邦の域外にある国または地域をいい、我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるもの(本稿執筆時点(2022年3月19日)ではEU加盟国および英国)を除きます

外国にある第三者への個人データの提供を認める旨の本人の同意とは(個人情報保護法28条1項)

本人の同意とは

 「本人の同意」とは、本人の個人データが、個人情報取扱事業者によって外国にある第三者に提供されることを承諾する旨の本人の意思表示をいいます。

 個人情報保護法27条1項の「本人の同意」がある場合でも、「外国にある第三者への提供を認める旨の本人の同意」がなければ外国にある第三者には個人データを移転することはできません。

 「本人の同意を得(る)」とは、本人が承諾する旨の意思表示を個人情報取扱事業者が認識することをいいます。事業の性質および個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。

 なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人および被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要があります。

外国にある第三者への提供を認める旨の本人の同意を取得する際に、本人に提供しなければならない情報

 令和4年(2022年)4月1日施行の改正により、外国にある第三者への提供を認める旨の本人の同意を取得する際には、下記の事項を本人に提供しなければならなくなりました(個人情報保護法28条2項)。

  1. 移転先となる外国の名称
  2. 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  3. 第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報

 詳細は4 同意取得時に本人に提供すべき情報の詳細で解説します。

 この情報を提供する方法は下記になります(個人情報保護法施行規則17条第1項)。

  • 電磁的記録の提供による方法
  • 書面の交付による方法
  • その他の適切な方法

 個人情報保護法施行規則17条第2項から第4項までの規定により求められる情報(下記3から5参照)が掲載されたWebページに掲載された情報を本人に閲覧させる方法も、「適切な方法」に該当すると考えられます。(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新、以下Q&A) Q12-10)

 この場合、当該WebページのURLを本人にとってわかりやすい場所に掲載したうえで、同意の可否の判断の前提として、本人に対して当該情報の確認を明示的に求めるなど、本人がURLに掲載された情報を閲覧する形で、情報提供を行う必要があると考えられます。(Q&A Q12-10)

 このURLとしては、個人情報保護委員会が令和4年1月25日にホームページにおいて公表した、外国における個人情報の保護に関する制度に関する情報提供文書 1 のURLも該当すると考えられます。この場合、現時点では、限られた国・地域(31の国・地域)の情報提供に限られていること、2021年10月時点の情報であることなどに留意する必要があります。

外国にある第三者とは(外国第三者提供編ガイドライン2-2)

 「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれます

 法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで「第三者」に該当するかを判断します。

 たとえば、日本企業が、外国の法人格を取得している当該企業の現地子会社に個人データを提供する場合には、「外国にある第三者」への個人データの提供に該当します。

 一方、現地の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しません。

事例
外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当する。

提供先の外国事業者が日本に出張所を有する場合(Q&A Q12-5)

 個人データの提供先が外国事業者である場合であっても、当該外国事業者が「日本国内で個人情報データベース等を事業の用に供していると認められる場合」には、外国にある第三者への提供(法28条1項)に該当しません。
 もっとも、日本国内で個人情報データベース等を事業の用に供していると認められるか否かは、日本国内における事業の実態を勘案して、個別の事例ごとに判断することとなるため、国内に出張所を有することのみをもって直ちに当該外国事業者への個人データの提供が「外国にある第三者への提供」に該当しないこととなるわけではありません。

他の日本法人の外国支店に個人データを提供する場合(Q&A Q12-9)

 国内にある個人情報取扱事業者が、他の日本法人の外国支店に直接個人データを提供する場合には、当該外国支店への個人データの提供は、外国にある第三者への提供(法28条1項)に該当し得ます。

外国にあるサーバに個人データを含む保存する場合(Q&A Q12-3)

 個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法28条1項)に該当しません。
 また、個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法28条1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

 なお、個人情報取扱事業者が、外国に設置されたサーバに個人データを保存する場合、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講ずる必要があり(法23条)、また、保有個人データの安全管理について講じた措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く(法32条1項4号、施行令10条1号)必要があることに留意が必要です。通則編ガイドラインにおいては、「外的環境の把握」と位置付けられています。

外国事業者が運営するクラウド(Q&A Q12-4)

 外国事業者が運営するクラウドを利用している場合、当該外国事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供(法28条1項)に該当します。

 ただし、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(法28条1項)に該当しません。

 なお、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法28条1項)に該当しません。

外国にある委託先に個人情報保護法の域外適用される場合(Q&A Q11-4)

 外国にある個人情報取扱事業者が、日本の居住者等の日本国内にある者に対する物品またはサービスの提供に関連して、日本国内にある者を本人とする個人情報を外国において取り扱う場合には、個人情報保護法の域外適用の対象となります(法166条)。

 外国にある個人情報取扱事業者が、日本国内のユーザー向けのアプリの開発・運営のために、日本国内の事業者から日本国内のユーザーを本人とする個人データの取扱いの委託を受けて外国で取り扱う場合、当該外国にある個人情報取扱事業者による当該個人データの取扱いは、日本国内にある者に対する物品またはサービスの提供に関連するものであると考えられることから、個人情報保護法の域外適用の対象となります。

 なお、外国にある個人情報取扱事業者に対して個人データを提供する日本国内の個人情報取扱事業者は、法28条1項により、原則として、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がある点に注意が必要です。
 すなわち、外国事業者が域外適用(法166条)によって「個人情報取扱事業者」に該当しても、日本国内に事務所を設置している場合、または、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められる場合でなければ、「外国にある第三者」として法28条が適用されるものと考えられます。

同意取得時に本人に提供すべき情報の詳細(個人情報保護法28条2項、個人情報保護法施行規則17条2項、外国第三者提供ガイドライン編5-2)

 個人情報保護法28条1項の規定により外国にある第三者への個人データの提供を認める旨の本人の同意を取得しようとする場合には、本人に対し、次の①から③までの情報を提供しなければなりません(個人情報保護法28条2項)。

  1. 移転先となる外国の名称
  2. 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度についての情報
  3. 第三者が講ずる個人情報の保護のための措置に関する情報

 本条の趣旨は、移転先の外国における個人情報の保護に関する制度や第三者による個人情報の取扱いなど、移転先の多様な状況に起因する個人データの越境移転に伴うリスクについて、本人の予測可能性を高めることにあります。

提供が必要な情報① 移転先となる外国の名称(個人情報保護法28条2項、個人情報保護法施行規則17条2項1号)

 移転先の第三者が所在する外国の名称は、必ずしも正式名称を求めるものではありませんが、本人が自己の個人データの移転先を合理的に認識できると考えられる名称でなければなりません。

 また、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められません。

 もっとも、個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨を踏まえると、州法が主要な規律となっている等、州法に関する情報提供が本人の予測可能性の向上に資する場合には、本人に対して、提供先の外国にある第三者が所在する州を示したうえで、州単位での制度についても情報提供を行うことが望ましいです。

 「当該外国の名称」における外国とは、提供先の第三者が「個人データを保存するサーバが所在する外国」ではなく、「提供先の第三者が所在する外国」をいいます。したがって、提供先の外国にある第三者はA国に所在していますが、B国にサーバを設置しており当該第三者に個人データを提供した場合には、「当該外国の名称」として提供すべき名称は、A国の名称を情報提供する必要があります。なお、提供先の第三者が所在する外国の名称に加え、当該第三者が個人データを取り扱うサーバの所在国についても情報提供することは、望ましい取組みであると考えられます(Q&A Q12-11)。

提供が必要な情報② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度についての情報(個人情報保護法施行規則17条2項2号)

(1)適切かつ合理的な方法とは

 「当該外国における個人情報の保護に関する制度についての情報」は、一般的な注意力をもって適切かつ合理的な方法により確認したものでなければなりません。

 適切かつ合理的な方法に該当する事例は下記のとおりです。

事例 1
提供先の外国にある第三者に対して照会する

事例 2
我が国または外国の行政機関等が公表している情報を確認する

(2)当該外国における個人情報の保護に関する制度に関する情報とは

 個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨に鑑み、「当該外国における個人情報の保護に関する制度に関する情報」は、提供先の第三者が所在する外国における個人情報の保護に関する制度と我が国の個人情報保護法との間の本質的な差異を本人が合理的に認識できる情報でなければなりません。具体的には、次の①から④までの観点を踏まえる必要があります。

 なお、ここでいう「当該外国における個人情報の保護に関する制度」は、当該外国における制度のうち、提供先の外国にある第三者に適用される制度に限られ、当該第三者に適用されない制度は含まれません。

① 当該外国における個人情報の保護に関する制度の有無

 提供先の第三者が所在する外国における制度に、当該第三者に適用される個人情報の保護に関する制度が存在しない場合、そのこと自体が個人データの越境移転に伴うリスクの存在を示します。個人情報の保護に関する制度が存在しない旨を本人に対して情報提供しなければなりません。

 提供先の第三者が所在する外国において、個人情報の保護に関する制度が存在する場合には、当該制度に係る法令の個別の名称を本人に情報提供することは求められませんが、本人の求めがあった場合に情報提供できるようにしておくことが望ましいです。

② 当該外国の個人情報の保護に関する制度についての指標となり得る情報の存在

 提供先の第三者が所在する外国の個人情報の保護に関する制度について、個人情報の保護の水準等に関する客観的な指標となり得る情報が存在する場合、当該指標となり得る情報が提供されることにより、個人データの越境移転に伴うリスクについての本人の予測可能性は一定程度担保されると考えられます。したがって、この場合には、当該指標となり得る情報を提供すれば足り、次の③に係る情報の提供は求められません。

 なお、当該指標となり得る情報が個人データの越境移転に伴うリスクとの関係でどのような意味を持つかについても、本人に対して情報提供を行うことが望ましいです。

当該外国の個人情報の保護に関する制度についての指標となり得る情報に該当する事例

事例1
当該第三者が所在する外国がGDPR45条に基づく十分性認定の取得国であること

事例2
当該第三者が所在する外国がAPECのCBPR システムの加盟国であること
③ OECDプライバシーガイドライン8原則に対応する事業者の義務または本人の権利の不存在

 OECDプライバシーガイドラインは、下記8原則を基本原則として定めています。

  1. 収集制限の原則 (Collection Limitation Principle)
  2. データ内容の原則 (Data Quality Principle)
  3. 目的明確化の原則(PurposeSpecification Principle)
  4. 利用制限の原則(Use Limitation Principle)
  5. 安全保護措置の原則(Security Safeguards Principle)
  6. 公開の原則(Openness Principle)
  7. 個人参加の原則(Individual Participation Principle)
  8. 責任の原則(Accountability Principle)

 提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECDプライバシーガイドライン8原則に対応する事業者の義務または本人の権利が存在しない場合に、その内容について本人に情報提供しなければなりません。当該事業者の義務または本人の権利の不存在は、我が国の法(個人情報の保護に関する法律)との本質的な差異を示すものであるためです。

 なお、提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECDプライバシーガイドライン8原則に対応する事業者の義務および本人の権利がすべて含まれる場合には、その旨を本人に情報提供すれば足ります。

OECDプライバシーガイドライン8原則に対応する事業者の義務または本人の権利の不存在に該当する事例

事例1
個人情報について原則としてあらかじめ特定した利用目的の範囲内で利用しなければならない旨の制限の不存在

事例2
事業者が保有する個人情報の開示の請求に関する本人の権利の不存在
④ その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在

 提供先の第三者が所在する外国において、我が国の制度と比較して当該個人データに係る本人の権利利益に重大な影響を及ぼす可能性のある制度が存在する場合には、当該制度の存在について本人に情報提供しなければなりません。

本人の権利利益に重大な影響を及ぼす可能性のある制度に該当する事例

事例1
事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度

事例2
事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度

 事例1の「事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度」は、「ガバメントアクセス」とも言われます。

 個人情報保護委員会が公表している、中華人民共和国に関する情報提供文書では、以下のとおり、ガバメント・アクセスに関する情報提供がなされています 2

【事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの】

  1. サイバーセキュリティ法
    • ネットワーク運営者に対し、公安機関や国家安全機関による国の安全の維持・保護及び犯罪捜査に係る活動に対する技術的支援及び協力を義務付け。
    • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
      ・アクセスの実施に関する制限及び手続
      ・法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
      ・アクセスの実施に関する独立した機関からの承認
      ・取得された情報の取扱いの制限・安全管理
      ・アクセスの実施に関する透明性の確保
  2. データセキュリティ法
    • 関係する組織又は個人に対し、公安機関や国家安全機関が、国の安全の維持・保護又は犯罪を捜査する必要により行うデータの取り調べに対する協力を義務付け。
    • 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
      ・アクセスの実施に関する制限
      ・法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
      ・アクセスの実施に関する透明性の確保
  3. 中華人民共和国国家情報法(中华人民共和国国家情报法)
    • 関係する機関・組織・国民に対し、国家安全機関、公安機関の情報部門及び軍の情報部門が行う国家情報活動に対して必要な支持・援助・協力行うことを義務付け。
    • 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
      ・アクセスの実施に関する制限及び手続
      ・法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
      ・アクセスの実施に関する独立した機関からの承認
      ・取得された情報の取扱いの制限・安全管理
      ・アクセスの実施に関する透明性の確保

 事例2の「事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度」は、「データ・ローカライゼーション」とも言われます。
 個人情報保護委員会が公表している、中華人民共和国に関する情報提供文書では、以下のとおり、データ・ローカライゼーションに関する情報提供がなされています。

【個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの】
  • 個人情報保護法、中華人民共和国サイバーセキュリティ法(中华人民共和国网络安全法)(以下「サイバーセキュリティ法」という。)及び中華人民共和国データセキュリティ法(中华人民共和国数据安全法)(以下「データセキュリティ法」という。)に、個人情報の域内保存義務に係る制度(個人情報の域外移転を制約することにより実質的に域内保存義務を課す制度を含む。)が存在する。

  • これらの法令においては、域外への情報の移転に際して、当局による安全評価に合格することが要件とされている場合があり、事業者が本人からの開示請求に十分に対応できないおそれがある。なお、これらの法令に基づく域内保存義務は、外国の事業者からの移転により取得した個人情報には適用されない場合がある。
⑤ 個人情報保護委員会の情報提供文書

 個人情報保護委員会が令和4年1月25日にホームページにおいて公表した、31の国・地域の外国における個人情報の保護に関する制度に関する情報提供文書 3 においては、それぞれの国・地域について上記の①から④の項目建てに準拠しています。

  1. 個人情報の保護に関する制度の有無
  2. 個人情報の保護に関する制度についての指標となり得る情報
    (1)EUの十分性の認定 4
    (2)APECのCBPRシステム 5
  3. OECD プライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利 6
  4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度

    ① 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの(※データ・ローカライゼーション)

    ② 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの(※ガバメント・アクセス)

(3)外国における個人情報の保護に関する制度の改正があった場合

 「外国における個人情報の保護に関する制度に関する情報」(個人情報保護法施行規則17条2項2号)は、一般的な注意力をもって「適切かつ合理的な方法」により確認したものである必要がありますが、「適切かつ合理的な方法」により確認を行った「外国における個人情報の保護に関する制度に関する情報」を提供したうえで外国にある第三者への個人データの提供を認める旨の本人の同意を取得した後に、当該外国における個人情報の保護に関する制度についての変更があった場合であっても、すでに取得された同意の有効性には影響を及ぼさないものと考えられます(Q&A Q12-13)。

 もっとも、たとえば、当該外国における個人情報の保護に関する制度について、我が国の個人情報保護法との間の本質的な差異の認識に影響を及ぼすような重要な変更がなされたことを提供元の事業者が認識した場合には、本人に情報提供することが望ましいと考えられます(Q&A Q12-13)。

提供が必要な情報③ 当該第三者が講ずる個人情報の保護のための措置に関する情報(個人情報保護法施行規則17条2項3号)

 個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨に鑑み、「当該第三者が講ずる個人情報の保護のための措置に関する情報」は、個人データの取扱いについて、当該外国にある第三者が講ずる個人情報の保護のための措置と我が国の個人情報保護法により個人情報取扱事業者に求められる措置との間の本質的な差異を本人が合理的に認識できる情報でなければなりません。

 具体的には、当該外国にある第三者において、OECDプライバシーガイドライン8原則に対応する措置(本人の権利に基づく請求への対応に関する措置を含む)を講じていない場合には、講じていない当該措置の内容について、本人が合理的に認識できる情報が提供されなければなりません。

 なお、提供先の外国にある第三者が、OECDプライバシーガイドライン8原則に対応する措置をすべて講じている場合には、その旨を本人に情報提供すれば足ります。
 「当該第三者が講ずる個人情報の保護のための措置に関する情報」を確認する方法としては、たとえば、提供先の外国にある第三者に確認する方法や、提供先の外国にある第三者との間で締結している契約において、当該第三者による個人データの取扱いについて定めている場合に、当該契約を確認する方法等が考えられます(Q&A Q12-12)。

提供先の第三者が講ずる個人情報の保護のための措置に関する情報の提供に該当する事例(提供先の第三者が利用目的の通知・公表を行っていない場合)

事例
「提供先が、概ね個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じているものの、取得した個人情報についての利用目的の通知・公表を行っていない」旨の情報提供を行うこと

提供する当該外国の名称を特定できない場合の対応(個人情報保護法施行規則17条3項、外国第三者提供ガイドライン編5-3-1)

 個人情報取扱事業者は、個人情報保護法28 条1項の規定による本人の同意を得ようとする時点において、「当該外国の名称」が特定できない場合には、「当該外国の名称」および「適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報」に代えて、次に掲げる事項について情報提供しなければなりません。

  1. 当該外国の名称が特定できない旨およびその理由
  2. 当該外国の名称に代わる本人に参考となるべき情報がある場合には、当該情報

 なお、事後的に提供先の第三者が所在する外国が特定できた場合には、本人の求めに応じて情報提供を行うことが望ましいです。

提供先の第三者が所在する外国を特定できない場合に該当する事例

事例1
日本にある製薬会社が医薬品等の研究開発を行う場合において、治験責任医師等が被験者への説明および同意取得を行う時点では、最終的にどの国の審査当局等に承認申請するかが未確定であり、当該被験者の個人データを移転する外国を特定できない場合

事例2
日本にある保険会社が保険引受リスクの分散等の観点から外国の再保険会社に再保険を行う場合において、日本にある保険会社による顧客からの保険引受および同意取得の時点では、最終的にどの再保険会社に再保険を行うかが未確定であり、当該顧客の個人データを移転する外国を特定できない場合

 上記の「提供先の第三者が所在する外国を特定できない場合の事例」のほか、一定の具体的な目的のもとに個人データの取扱いを外国にある第三者に委託する予定であるものの、本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が所在する外国が特定できない場合は、「提供する当該外国の名称を特定できない場合」に該当し得るものと考えられます(Q&A Q12-14)。
 この場合であっても、特定できない旨およびその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む)を情報提供するとともに、提供先の第三者が所在する外国の範囲を特定できる場合の当該範囲に関する情報など、外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報を提供する必要があります(個人情報保護法施行規則17条3項各号、下記5-1、5-2参照)。

 法28条1項の規定により本人の同意を得ようとする時点において、提供先の第三者が具体的に定まっていない場合には、その時点で施行規則17条3項および4項に基づく情報提供(下記5-1、5-2、6)を行ったうえで本人の同意を得て個人データを提供するのではなく、提供先の第三者が具体的に定まった後に、当該第三者との間で契約を締結すること等により、当該第三者における施行規則16条に定める基準に適合する体制を整備したうえで、個人データの提供を行うことも考えられます。(Q&A Q12-14)

特定できない旨およびその理由の情報提供(個人情報保護法施行規則17条3 項1号)

 個人情報取扱事業者は、提供先の第三者が所在する外国を特定できない場合であっても、個人データの越境移転に伴うリスクに関する本人の予測可能性の向上という趣旨を踏まえ、提供先の第三者が所在する外国を特定できない旨およびその理由を情報提供しなければなりません。

 なお、情報提供に際しては、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましいです。

提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報の提供(個人情報保護法施行規則17条3項2号関係)

 提供先の第三者が所在する外国が特定できないとしても、外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報についても本人に提供しなければなりません。

 「提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報」の該当性は、本人への情報提供が求められる制度趣旨を踏まえつつ、個別に判断する必要がありますが、たとえば、移転先の外国の範囲が具体的に定まっている場合における当該範囲に関する情報は、ここでいう「提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報」に該当します。

提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報に該当する事例

事例
本人の同意を得ようとする時点において、移転先となる外国の候補が具体的に定まっている場合における当該候補となる外国の名称

提供する第三者が講ずる個人情報の保護のための措置に関する情報を提供できない場合(個人情報保護法施行規則17条4項、外国第三者提供ガイドライン編5-3-2)

 個人情報取扱事業者は、個人情報保護法28条1項の規定により外国にある第三者への個人データの提供を認める旨の本人の同意を取得しようとする時点において、提供先の外国にある第三者が講ずる個人情報の保護のための措置に関する情報の提供ができない場合(個人情報保護法施行規則17条2項3号)には、当該情報に代えて、当該情報を提供できない旨およびその理由について情報提供しなければなりません。

 なお、情報提供に際しては、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましいです。

 また、事後的に当該第三者が講ずる個人情報の保護のための措置についての情報提供が可能となった場合には、本人の求めに応じて情報提供を行うことが望ましいです。

提供先の第三者が講ずる個人情報の保護のための措置に関する情報の提供ができない場合に該当する事例

事例 1
日本にある製薬会社が医薬品等の研究開発を行う場合において、治験責任医師等が被験者への説明および同意取得を行う時点では、最終的にどの国の審査当局等に承認申請するかが未確定であり、当該被験者の個人データの提供先を特定できない場合

事例 2
日本にある保険会社が保険引受リスクの分散等の観点から外国の再保険会社に再保険を行う場合において、日本にある保険会社による顧客からの保険引受及び同意取得の時点では、最終的にどの再保険会社に再保険を行うかが未確定であり、当該顧客の個人データの提供先を特定できない場合

 上記の「提供先の第三者が講ずる個人情報の保護のための措置に関する情報の提供ができない場合に該当する事例」のほか、本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が特定できず、当該第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合は、「提供する第三者が講ずる個人情報の保護のための措置に関する情報を提供できない場合」に該当し得ると考えられます(Q&A Q12-14)。

令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

  1. 個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」 ↩︎

  2. https://www.ppc.go.jp/files/pdf/china_report.pdf ↩︎

  3. 個人情報保護委員会・前掲注2 ↩︎

  4. EUの十分性認定を取得した国または地域は、個人情報保護委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定しているEU(EU 加盟国および欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度であるGDPRまたはその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国または地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国または地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。 ↩︎

  5. APECのCBPRシステム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、およびCBPR認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じくAPECのCBPRシステムに参加しているエコノミーにおいては、APECのプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APECのCBPRシステム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APECのCBPRシステムの対象は、民間部門である。 ↩︎

  6. OECDプライバシーガイドライン8原則は、OECD加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する