外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか。

(外国にある第三者への提供)
Q12-3

外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか。

A12-3

個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法第 28 条第1項)に該当しません。

また、個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 28 条第1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q7-53 参照)。

なお、個人情報取扱事業者が、外国に設置されたサーバに個人データを保存する場合、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要があり(法第 23 条)、また、保有個人データの安全管理について講じた措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く(法第 32 条第1項第4号、施行令第 10 条第1号)必要があることに留意が必要です(Q10-25 参照)。
(令和3年9月更新)

検索キーワード