2 ガイドライン(外国にある第三者への提供編)
- Q12-19
提供先の外国にある第三者が施行規則第 16 条に定める基準に適合する体制を整備していることを根拠として個人データを提供した後、当該外国にある第三者による相当措置の継続的な実施の確保が困難となった場合、当該外国にある第三者に対して既に提供した個人データについて、返還又は削除を求める必要がありますか。
- A12-19
提供先の外国にある第三者が施行規則第 16 条に定める基準に適合する体制を整備していることを根拠に、当該提供先に対して個人データの提供を行った場合において、当該提供先による相当措置の実施に支障が生じた場合には、当該支障の解消又は改善のために「必要かつ適切な措置」を講ずることが求められます(施行規則第 18 条第1項第2号)。
このような「必要かつ適切な措置」の一環として、当該提供先による相当措置の継続的な実施の確保が困難となり、既に提供された個人データについて、我が国の個人情報取扱事業者により個人データが取り扱われる場合に相当する程度の本人の権利利益の保護を確保することが困難となった場合には、提供元の事業者は、当該提供先に対し、当該個人データの返還又は削除を求める必要があると考えられます。
なお、提供元の事業者が、当該提供先に対して法第 27 条第5項第1号に基づいて個人データの取扱いの委託を行っている場合には、当該提供先に対する監督義務を負うため(法第 25 条)、当該提供先による当該個人データの安全管理の確保が困難となっているにもかかわらず、提供元の事業者が当該提供先に対して当該個人データの返還又は削除を求めない場合には、提供元の事業者の監督義務違反となる可能性があります。
(令和3年9月追加)