- (域外適用)
- Q11-2
外国で活動する事業者ですが、日本国内にある者に対して音楽の配信サービスを提供するために本人から個人情報を取得する場合、その個人情報の取扱いについて個人情報保護法は適用されますか。また、日本国内の別の事業者から個人情報を取得する場合はどうなりますか。
- A11-2
法第171条に基づき、外国にある個人情報取扱事業者等が、日本の居住者等の日本国内にある者に対する物品やサービスの提供に関連して、日本国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合には、個人情報保護法が適用されます。
そのため、外国にある個人情報取扱事業者が、日本国内にある者に対して音楽の配信サービスを提供することに関連して、日本国内にある者を本人とする個人情報を外国で取り扱う場合、当該外国にある個人情報取扱事業者による当該個人情報の取扱いには、個人情報保護法が適用されます。このことは、当該外国にある個人情報取扱事業者が、日本国内にある本人から直接個人情報を取得した場合であっても、日本国内の別の事業者から間接的に取得した場合であっても同様です(ガイドライン(通則編)8参照)。
なお、域外適用の対象となる外国にある個人情報取扱事業者は、個人データを取り扱う当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要があります(法第23条)。その上で、「保有個人データの安全管理のために講じた措置」として、当該外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く必要があります(法第32条第1項第4号、施行令第10条第1号)。
また、外国にある個人情報取扱事業者に個人データを提供する日本国内の個人情報取扱事業者は、法第28条第1項により、原則として、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がある点に注意が必要です。
(令和3年9月更新)