- (域外適用)
- Q11-3
外国で活動する事業者で、日本を含む各国にある者に対してサービスを提供しており、当該サービス提供のため各本人から個人情報を取得しています。日本国内の利用者の個人データを含む漏えい等事案が生じた場合、漏えい等事案が発覚した場合に講ずべき措置を講ずるとともに、漏えい等事案の報告及び本人への通知を行う必要がありますか。
- A11-3
外国にある個人情報取扱事業者が、日本の居住者等の日本国内にある者に対する物品又はサービスの提供に関連して、日本国内にある者を本人とする個人情報を外国において取り扱う場合には、個人情報保護法の域外適用の対象となり、法第23条(安全管理措置)や法第26条(漏えい等の報告等)も適用されます(法第171条)。
したがって、このような外国にある個人情報取扱事業者が、日本国内の利用者へのサービス提供に関連して取り扱っている日本国内の利用者の個人データについて漏えい等事案を発生させた場合には、日本国内の個人情報取扱事業者と同様に、漏えい等事案が発覚した場合に講ずべき措置(ガイドライン(通則編)3-5-2参照)を講ずる必要があります。
また、当該漏えい等事案が法第26条の要件を満たす場合(ガイドライン(通則編)3-5-3-1参照)には、同条に基づく報告及び本人通知が必要となります。なお、この場合、「個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態」(施行規則第7条第4号)との関係では、当該外国にある個人情報取扱事業者において漏えい等事案が発生した個人データのうち、法第171条に係る本人の数が「千人を超える」かどうかを判断することになります。
なお、域外適用についてはQ11-2をご参照ください。
(令和3年9月更新)