令和2年改正により外国にある第三者への個人情報を提供する場合の本人同意の取得方法と提供が必要な情報
外国にあるサーバに個人データを含む保存する場合(Q&A Q12-3)
個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法28条1項)に該当しません。
また、個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法28条1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
なお、個人情報取扱事業者が、外国に設置されたサーバに個人データを保存する場合、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講ずる必要があり(法23条)、また、保有個人データの安全管理について講じた措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く(法32条1項4号、施行令10条1号)必要があることに留意が必要です。通則編ガイドラインにおいては、「外的環境の把握」と位置付けられています。
外国事業者が運営するクラウド(Q&A Q12-4)
外国事業者が運営するクラウドを利用している場合、当該外国事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供(法28条1項)に該当します。
ただし、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(法28条1項)に該当しません。
なお、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法28条1項)に該当しません。
外国にある委託先に個人情報保護法の域外適用される場合(Q&A Q11-4)
外国にある個人情報取扱事業者が、日本の居住者等の日本国内にある者に対する物品またはサービスの提供に関連して、日本国内にある者を本人とする個人情報を外国において取り扱う場合には、個人情報保護法の域外適用の対象となります(法166条)。
外国にある個人情報取扱事業者が、日本国内のユーザー向けのアプリの開発・運営のために、日本国内の事業者から日本国内のユーザーを本人とする個人データの取扱いの委託を受けて外国で取り扱う場合、当該外国にある個人情報取扱事業者による当該個人データの取扱いは、日本国内にある者に対する物品またはサービスの提供に関連するものであると考えられることから、個人情報保護法の域外適用の対象となります。
なお、外国にある個人情報取扱事業者に対して個人データを提供する日本国内の個人情報取扱事業者は、法28条1項により、原則として、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がある点に注意が必要です。
すなわち、外国事業者が域外適用(法166条)によって「個人情報取扱事業者」に該当しても、日本国内に事務所を設置している場合、または、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められる場合でなければ、「外国にある第三者」として法28条が適用されるものと考えられます。
「あらかじめ外国にある第三者への提供を認める旨の本人の同意」がある場合、個人情報取扱事業者は外国にある第三者に対して個人データを提供することができます(個人情報保護法28条1項)。
個人情報取扱事業者は、外国にある第三者への提供を認める旨の本人の同意を得ようとする場合、下記3点について本人に提供しなければなりません(個人情報保護法28条2項、個人情報保護法施行規則17条2項)。これは、令和2年改正法で追加された要件です。
- 移転先となる外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 第三者が講ずる個人情報の保護のための措置に関する情報
なお、ここでいう外国とは本邦の域外にある国または地域をいい、我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるもの(本稿執筆時点(2022年3月19日)ではEU加盟国および英国)を除きます。
「本人の同意」とは、本人の個人データが、個人情報取扱事業者によって外国にある第三者に提供されることを承諾する旨の本人の意思表示をいいます。
個人情報保護法27条1項の「本人の同意」がある場合でも、「外国にある第三者への提供を認める旨の本人の同意」がなければ外国にある第三者には個人データを移転することはできません。
「本人の同意を得(る)」とは、本人が承諾する旨の意思表示を個人情報取扱事業者が認識することをいいます。事業の性質および個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人および被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要があります。
外国にある第三者への提供を認める旨の本人の同意を取得する際に、本人に提供しなければならない情報
令和4年(2022年)4月1日施行の改正により、外国にある第三者への提供を認める旨の本人の同意を取得する際には、下記の事項を本人に提供しなければならなくなりました(個人情報保護法28条2項)。
- 移転先となる外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報
「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれます。
法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで「第三者」に該当するかを判断します。
たとえば、日本企業が、外国の法人格を取得している当該企業の現地子会社に個人データを提供する場合には、「外国にある第三者」への個人データの提供に該当します。
一方、現地の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しません。
外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当する。
アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク(「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号))
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国
- 規則第15条
-
- 法第28条第1項の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
- 法第4章又は第5章の規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること。
- 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督又は監視を行うための体制が確保されていること。
- 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること。
- 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること。
- 前四号に定めるもののほか、当該外国を法第28条第1項の規定による外国として定めることが、我が国における行政機関等の事務及び事業の適正かつ円滑な運営を図り、又は我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること。
- 個人情報保護委員会は、前項の規定による外国を定める場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができる。
- 個人情報保護委員会は、第1項の規定による外国を定めた場合において、当該外国が第1項各号に該当していること又は当該外国について前項の規定により付された条件が満たされていることを確認するため必要があると認めるときは、当該外国における個人情報の保護に関する制度又は当該条件に係る対応の状況に関し必要な調査を行うものとする。
- 個人情報保護委員会は、第1項の規定による外国を定めた場合において、前項の調査の結果その他の状況を踏まえ、当該外国が第1項各号に該当しなくなったと認めるとき又は当該外国について第2項の規定により付された条件が満たされなくなったと認めるときは、第1項の規定による定めを取り消すものとする。
- 法第28条第1項の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国は、EU及び英国が該当する。ここでいうEUとは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指す(ただし、英国は含まない。)。
なお、EU及び英国の指定は、日EU間で相互の円滑な個人データ移転を図るために、欧州委員会による日本への十分性認定(GDPR(※)第45条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定をいう。)に併せて行ったものである。
(※)個人データの取扱いに係る自然人の保護及び当該データの自由な移転並びに指令95/46/ECの廃止に関する欧州議会及び欧州理事会規則(一般データ保護規則)(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation))
