5 個人データの漏えい等事案対応告示
- Q12-7
提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供した後、当該提供先がさらに別の「第三者」(再提供先)に個人データを提供する場合、当該提供先が施行規則第16条に定める基準に適合する体制を整備しているといえるためには、どのような措置の実施が確保される必要がありますか。当該「第三者」(再提供先)が当該提供先と同一国内にある者等の外国にある者であるときと、当該「第三者」(再提供先)が日本にある者であるときで、実施が確保されるべき措置が変わりますか。
- A12-7
法第28条第1項の「外国」は、本邦の域外にある国又は地域(我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則第15条で定める国(※)を除きます。以下本項において同じ。)を指します。
したがって、提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として、個人データを提供した後、当該提供先がさらに別の「第三者」(再提供先)に当該個人データを再提供する場合において、当該「第三者」(再提供先)が本邦の域外にある国又は地域にある者であるときは、当該提供先と同一国若しくは地域にあるか、又は異なる国若しくは地域にあるかにかかわらず、当該提供先による当該「第三者」(再移転先)への個人データの移転について、法第28条の規定の趣旨に沿った措置(ガイドライン(外国にある第三者への提供編)4-2-12参照)の実施が確保される必要があります。
他方で、当該「第三者」(再提供先)が日本にある者であるときは、当該「第三者」(再提供先)は、「外国にある第三者」(法第28条第1項)に該当しません。そのため、この場合には、当該提供先による当該「第三者」(再移転先)への個人データの移転について、法第27条の規定の趣旨に沿った措置(同ガイドライン4-2-11参照)の実施が確保される必要があります。
(※)施行規則第15条で定める国とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指し、具体的には、令和3年9月時点でEU及び英国が該当します。なお、ここでいうEUとは、平成31年個人情報保護委員会告示第1号に定める国(ただし、英国を除きます。)を指します。
(令和3年9月更新)