- (技術的安全管理措置)
- Q10-24
「外的環境の把握」について、外国にある第三者に個人データの取扱いを委託する場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。委託先が外国にある第三者に個人データの取扱いを再委託した場合はどうですか。
また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、どのような事項を本人の知り得る状態に置く必要がありますか。
- A10-24
個人情報取扱事業者は、外国にある支店や営業所に個人データを取り扱わせる場合、外国において個人データを取り扱うこととなるため、支店等が所在する外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。
また、外国に支店等を設置していない場合であっても、外国にある従業者に個人データを取り扱わせる場合、本人が被る権利利益の侵害の大きさを考慮し、その個人データの取扱状況(個人データを取り扱う期間、取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、従業者が所在する外国の制度等を把握すべき場合もあると考えられます。例えば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度等も把握して安全管理措置を講じる必要があると考えられます。他方、外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも、安全管理措置を講じるにあたって、外国の制度等を把握する必要まではないと考えられます。
以上は、外国にある支店等や従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です。
そして、外国の制度等を把握して安全管理措置を講じる場合には、「保有個人データの安全管理のために講じた措置」として、支店等や従業者が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
(令和3年9月追加)