「外的環境の把握」について、外国にある第三者に個人データの取扱いを委託する場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。委託先が外国にある第三者に個人データの取扱いを再委託した場合はどうですか。また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」（法第32条第１項第４号・施行令第10条第１号）として、どのような事項を本人の知り得る状態に置く必要がありますか

外国にある第三者に個人データの取扱いを委託する場合、委託元は、委託先を通じて外国において個人データを取り扱うこととなるため、委託先が所在する外国の個人情報の保護に関する制度等を把握した上で、委託先の監督その他の安全管理措置を講じる必要があります。また、委託先が外国にある第三者に個人データの取扱いを再委託する場合、委託元は、委託先及び再委託先を通じて外国において個人データを取り扱うこととなるため、再委託先が所在する外国の制度等も把握した上で、安全管理措置を講じる必要があります。以上は、委託先や再委託先が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です。

そして、かかる場合には、「保有個人データの安全管理のために講じた措置」として、委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。

なお、委託元は、個人データの取扱いの委託に伴って委託先に個人データを提供する場合において、委託先が「外国にある第三者」（法第28条第１項）に該当するときは、原則として委託先が所在する外国の名称等を本人に情報提供した上で、本人の同意を取得する必要があります（法第28条第１項・第２項）。かかる場合においても、委託元は、上記のとおり、安全管理措置を講じる必要があり、また、保有個人データの安全管理のために講じた措置を本人の知り得る状態に置く必要があります。
（令和３年９月追加）