5 個人データの漏えい等事案対応告示
- Q12-14
外国の事業者に対して個人データの取扱いを委託する予定であるものの、法第28条第1項の本人の同意を得ようとする時点において、具体的な委託先が定まっていません。この場合、施行規則第17条第3項の「前項第1号に定める事項が特定できない場合」に該当しますか。また、同条第4項の「第2項第3号に定める事項について情報提供できない場合」に該当しますか。
- A12-14
法第28条第2項の趣旨は、外国にある第三者への個人データの提供がなされる場合に、当該外国における個人情報の保護に関する制度や当該第三者が講ずる個人情報の保護のための措置に関する差異に起因するリスクについて、本人の予測可能性を高める点にあります。そのため、提供先の第三者及び当該第三者が所在する外国を特定した上で、本人に対する情報提供を行うことが原則です。
例えば、一定の具体的な目的のもとに個人データの取扱いを外国にある第三者に委託する予定であるものの、本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が所在する外国が特定できない場合は、施行規則第17条第3項における「前項第1号に定める事項が特定できない場合」に該当し得ると考えられます。この場合であっても、特定できない旨及びその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む。)を情報提供するとともに、提供先の第三者が所在する外国の範囲を特定できる場合の当該範囲に関する情報など、外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報を提供する必要があります(施行規則第17条第3項各号)。
また、同様に本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が特定できず、当該第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合は、施行規則第17条第4項における「第2項第3号に定める事項について情報提供できない場合」に該当し得ると考えられます。この場合であっても、情報提供できない旨及びその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む。)を情報提供する必要があります(施行規則第17条第4項)。
施行規則第17条第3項及び第4項の規定による情報提供に際しては、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましく、また、事後的に提供先の第三者が所在する外国が特定できた場合や当該第三者が講ずる個人情報の保護のための措置についての情報提供が可能となった場合には、本人の求めに応じて情報提供を行うことが望ましいと考えられます(ガイドライン(外国にある第三者への提供編)5-3-1(1)、5-3-2参照)。
なお、法第28条第1項の規定により本人の同意を得ようとする時点において、提供先の第三者が具体的に定まっていない場合には、その時点で施行規則第17条第3項及び第4項に基づく情報提供を行った上で本人の同意を得て個人データを提供するのではなく、提供先の第三者が具体的に定まった後に、当該第三者との間で契約を締結すること等により、当該第三者における施行規則第16条に定める基準に適合する体制を整備した上で、個人データの提供を行うことも考えられます。
(令和3年9月追加)