委託は法第27条第1項の第三者提供に当たらないとされていますが、外国にある第三者に個人データの取扱いを委託する場合は、法第28条第1項に基づいて「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がありますか。

(外国にある第三者への提供)
Q12-1

委託は法第27条第1項の第三者提供に当たらないとされていますが、外国にある第三者に個人データの取扱いを委託する場合は、法第28条第1項に基づいて「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がありますか。

A12-1

個人情報取扱事業者が、外国にある第三者に個人データを提供する場合には、以下のマル1からマル3までのいずれかに該当する場合を除き、法第28条第1項に基づきあらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要があります。この点は、外国にある第三者に個人データの取扱いを委託する場合も同様です。

  • マル1 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則第15条で定める国(※)にある場合
  • マル2 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として施行規則第16条で定める基準に適合する体制を整備している場合
  • マル3 法第27条第1項各号のいずれかに該当する場合

なお、上記マル1からマル3のいずれにも該当せず、法第28条第1項の規定により本人の同意を得ようとする場合には、あらかじめ、施行規則第17条第2項から第4項までの規定により求められる情報を本人に提供する必要があることに留意が必要です(法第28条第2項)。

(※)施行規則第15条で定める国とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指し、具体的には、令和3年9月時点でEU及び英国が該当します。なお、ここでいうEUとは、平成31年個人情報保護委員会告示第1号に定める国(ただし、英国を除きます。)を指します。
(令和3年9月更新)

検索キーワード