個人情報取扱事業者が、国内にある委託先に個人データの取扱いを委託した後、委託先が外国にある再委託先に対して、当該再委託先が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供した場合、法第28条第3項の義務が課される主体は誰ですか。

5 個人データの漏えい等事案対応告示

  • Q12-16

    個人情報取扱事業者が、国内にある委託先に個人データの取扱いを委託した後、委託先が外国にある再委託先に対して、当該再委託先が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供した場合、法第28条第3項の義務が課される主体は誰ですか。

  • A12-16

    個別の事案ごとに判断されますが、委託元の個人情報取扱事業者が国内にある事業者である委託先に対して法第27条第5項第1号に基づき個人データの取扱いを委託し、当該委託先が委託に伴って取得した当該個人データを、外国にある事業者に対して再委託に伴って再提供した場合において、委託先である国内にある事業者と再委託先である外国にある事業者との間の契約等により、施行規則第16条第1号の基準を満たすための「法第4章第2節の規定の趣旨に沿った措置」の実施が確保されている場合には、法第28条第3項の義務は、委託先に課されると考えられます。

    ただし、この場合でも、委託元は委託先に対する監督義務を負うため(法第25条)、委託元は、委託先が法第28条第3項に基づき必要な措置等を講じているか否か、委託先が法第25条に基づき再委託先に対して必要かつ適切な監督を行っているか否かを含め、委託先を監督する必要があります。
    (令和3年9月追加)

検索キーワード