提供先の外国にある第三者が施行規則第16 条に定める基準に適合する体制を整備していることを根拠として、事前の本人の同意を得ずに当該外国にある第三者に対して個人データの提供を行った場合、提供先の外国にある第三者による相当措置の実施状況について、当該外国に所在する提供元のグループ企業が提供先の第三者を訪問することや提供先の第三者から書面の提出を受けること等により、契約等の履行状況等を確認することで足りますか。

2 ガイドライン(外国にある第三者への提供編)

  • Q12-18

    提供先の外国にある第三者が施行規則第16 条に定める基準に適合する体制を整備していることを根拠として、事前の本人の同意を得ずに当該外国にある第三者に対して個人データの提供を行った場合、提供先の外国にある第三者による相当措置の実施状況について、当該外国に所在する提供元のグループ企業が提供先の第三者を訪問することや提供先の第三者から書面の提出を受けること等により、契約等の履行状況等を確認することで足りますか。

  • A12-18

    提供先の外国にある第三者による相当措置の実施状況については、当該外国にある第三者に提供する個人データの内容や規模に応じて、適切かつ合理的な方法により、定期的に確認する必要があります(施行規則第18 条第1項第1号)。具体的な確認の方法については、個別の事案における具体的な事情も踏まえて決定すべきものですが、当該外国に所在する提供元のグループ企業が、提供先の第三者を訪問することや提供先の第三者から書面の提出を受けること等により、契約等の履行状況等を確認した上で、提供元が、当該グループ企業から書面により相当措置の実施状況の共有を受けて確認することも、適切かつ合理的な方法に該当し得ると考えられます。
    (令和5年3月追加)

検索キーワード