施行規則第 16 条第1号では、「個人情報取扱事業者と個人データの提供を受ける者との間」で適切かつ合理的な方法により措置の実施を確保することとされています。国内にある事業者 A が外国にある事業者との間で、A のグループ会社の個人データの取扱いに係る委託契約を締結していますが、A の子会社であり、A と同じ内規等が適用される国内にある事業者 B が、当該外国にある事業者に対して委託に伴って個人データを提供する場合、当該委託契約及び当該内規等は「適切かつ合理的な方法」に該当しますか。

(外国にある第三者への提供)
Q12-6

施行規則第 16 条第1号では、「個人情報取扱事業者と個人データの提供を受ける者との間」で適切かつ合理的な方法により措置の実施を確保することとされています。国内にある事業者 A が外国にある事業者との間で、A のグループ会社の個人データの取扱いに係る委託契約を締結していますが、A の子会社であり、A と同じ内規等が適用される国内にある事業者 B が、当該外国にある事業者に対して委託に伴って個人データを提供する場合、当該委託契約及び当該内規等は「適切かつ合理的な方法」に該当しますか。

A12-6

当該委託契約及び当該内規等によって、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者の講ずべきこととされている措置に相当する措置を継続的に講ずることを実質的に担保することができる場合には、適切かつ合理的な方法に該当するものと考えられます。

なお、提供先の外国にある第三者が施行規則第 16 条に定める基準に適合する体制を整備していることを根拠として、事前の本人の同意を得ずに当該外国にある第三者に対して個人データの提供を行った場合には、個人情報取扱事業者は、法第 28 条第3項に基づき、当該外国にある第三者による相当措置(個人データの取扱いについて法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置をいいます。以下同じ。)の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要があります(ガイドライン(外国にある第三者への提供編)6参照)。
(令和3年9月更新)

検索キーワード