個人データを外国にある第三者に提供する場合どのような規制があるか

IT・情報セキュリティ 公開 更新

 個人情報取扱事業者が個人データを外国にある第三者に提供する場合には、新たにどのようなルールが設けられるのですか。

 個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、法令に基づく場合等の個人情報保護法23条1項各号に掲げる場合を除くほか個人情報保護法23条(個人データの第三者提供の制限)は適用されず、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければなりません。

 ただし、「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める外国の第三者に提供する場合」または「個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者に提供する場合」には、個人情報保護法23条が適用されることになります。

解説

目次

  1. 改正の背景
    1. 改正前の個人情報保護法における個人データの第三者への提供
    2. EUデータ保護指令
    3. 日本企業のグローバル化
  2. 改正後の外国にある第三者への個人データの提供に関する規制
    1. 個人情報保護法24条の規律

※本QAの凡例は以下のとおりです。

  • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律

改正の背景

改正前の個人情報保護法における個人データの第三者への提供

 改正前の個人情報保護法では、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはならないとされていました(改正前個人情報保護法23条1項)。

 例外として、①法令に基づく場合等の改正前個人情報保護法23条1項各号に該当する場合のほか、②オプトアウトの方法を利用する場合、③改正前個人情報保護法23条4項(改正後は5項)各号に該当する場合((i)個人データの取扱いの委託、(ii)合併等の事業の承継に伴って個人データが提供される場合、(iii)個人データを特定の者との間で一定の条件の下共同して利用する場合)には、本人の事前の同意がなくても個人データの第三者への提供が認められていました。

 改正前の個人情報保護法では、個人情報取扱事業者による個人データの第三者提供においては、以上の個人情報保護法23条の規律が、「第三者」が日本国内の者か外国にある者かを問わずに適用されました

EUデータ保護指令

 EUデータ保護指令は、EU域内から個人データを第三国に移転できる場合を、当該第三国がEUから見て十分な水準の保護措置を確保している場合に限定する「十分性認定」の制度が設けられているため、日本は「十分性の認定」を得る観点から、改正個人情報保護法において、「独立した第三者機関の設置」、「要配慮個人情報の取扱いの規律」、「小規模事業者への保護法の適用」「越境データ移転についての規律」、「開示請求権の適用の明確化」を行いました。

 詳細については、「EU一般データ保護規則が改正個人情報保護法に与える影響」をご参照ください。

日本企業のグローバル化

 日本企業の活動のグローバル化に伴い、海外に個人データの移転が増え、改正前の個人情報保護法の規律では不十分となったことも今回の改正の背景です。

改正後の外国にある第三者への個人データの提供に関する規制

 改正個人情報保護法においては、従前の「第三者提供の制限」(個人情報保護法23条)に加えて、新たに「外国にある第三者への提供の制限」に関する規定(個人情報保護法24条)を置いています

個人情報保護法24条の規律

 個人情報取扱事業者が、個人データを国内の第三者へ提供をする場合には、従前どおり、個人情報保護法23条の規定が適用されます。

 すなわち、①あらかじめ本人の同意がある場合、②法令に基づく場合等の個人情報保護法23条1項各号に該当する場合、③オプトアウトの方法を利用する場合、④個人情報保護法23条5項各号に該当する場合(( i )個人データの取扱いの委託、( ii )合併等の事業の承継に伴って個人データが提供される場合、( iii )個人データを特定の者との間で一定の条件の下共同して利用する場合)には、本人の事前の同意がなくても第三者への提供が認められます。

 個人情報取扱事業者と同一法人の海外支店や駐在員事務所は「第三者」への提供には該当しないので、個人情報保護法23条、24条のいずれも適用されず、「利用目的」の範囲内であれば個人データを利用することが認められます。
 これに対して、個人情報取扱事業者が、個人データを外国にある第三者に提供する場合には、個人情報保護法23条は適用されず、個人情報保護法24条の規定が適用されます。

 個人情報保護法24条においては、個人情報取扱事業者は、外国にある第三者に個人データを提供するには、個人情報保護法23条1項各号に該当する場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意がなければならないこととされています。

【外国にある第三者への提供が認められる場合】

  1. あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合
  2. 個人情報保護法23条1項各号に該当する場合
    ( i ) 法令に基づく場合

    ( ii ) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

    ( iii ) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

    ( iv ) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

 すなわち、外国にある第三者への個人データの提供の場合には、個人情報保護保護法23条において認められる以下の第三者提供の方法は原則として認められません。

【外国にある第三者への提供において原則として認められない個人データの提供方法】

  1. (外国にある第三者への提供か明確ではない単なる)本人の事前の同意
  2. オプトアウトの方法を利用する場合(個人情報保護法23条2項~4項)
  3. 個人情報保護法23条5項各号に該当する場合(個人情報保護法23条5項)
    ( i ) 個人データの取扱いの委託

    ( ii ) 合併等の事業の承継に伴って個人データが提供される場合

    ( iii ) 個人データを特定の者との間で一定の条件の下共同して利用する場合

 ただし、(ア)「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合または(イ)個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合のいずれかに該当する場合には、個人情報保護保護法24条ではなく、個人情報保護保護法23条の規律が適用され、①あらかじめ本人の同意がある場合(「外国にある第三者への提供を求める旨の本人の同意」ではない単なる「本人の同意」)、②個人情報保護保護法23条1項各号に該当する場合、③オプトアウトの方法を利用する場合(個人情報保護保護法23条2項~4項)、④個人情報保護保護法23条5項各号に該当する場合にも個人データの第三者提供が認められます。

【個人情報保護法23条の規律の適用が認められる場合】

(ア)「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合


(イ)個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合のいずれかに該当する場合

 個人情報保護法23条の規律が適用されると、①あらかじめ本人の同意がある場合(「外国にある第三者への提供を求める旨の本人の同意」ではない単なる「本人の同意」)、②個人情報保護法23条1項各号に該当する場合、③オプトアウトの方法を利用する場合(個人情報保護法23条2項~4項)、④個人情報保護法23条5項各号に該当する場合にも個人データの第三者提供が認められます。

個人データを外国にある第三者に提供する場合(個人情報保護法24条)

<追記>
2017年12月28日(木)12:20:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する