外国にある第三者に対して、提供元において氏名を削除するなどして個人を特定できないようにして当該提供先にとっては個人情報に該当しないデータの取扱いを委託し、当該提供先が個人情報に復元することがないような場合においても、法第28条第1項により、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がありますか。

5 個人データの漏えい等事案対応告示

  • Q12-8

    外国にある第三者に対して、提供元において氏名を削除するなどして個人を特定できないようにして当該提供先にとっては個人情報に該当しないデータの取扱いを委託し、当該提供先が個人情報に復元することがないような場合においても、法第28条第1項により、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がありますか。

  • A12-8

    提供先の外国にある第三者にとって個人情報に該当しないデータの取扱いを委託する場合において、委託契約において当該提供先が元となった個人情報を復元しないことが定められている等、当該提供先が元となった個人情報に係る本人を識別しないこととなっているときは、結果として、施行規則第16条で定める基準に適合する体制を整備しているものと解されます。

    そのため、この場合、当該提供先は、法第28条第1項における「第三者」に該当しないため、当該提供先に対する個人データの提供に際して、外国にある第三者への個人データの提供を認める旨の本人の同意を得る必要はありません。

    ただし、この場合であっても、提供元である個人情報取扱事業者は、当該提供先において元となった個人情報の復元がなされていないか等の定期的な確認を含め、当該提供先による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を提供する必要があります(法第28条第3項)。さらに、提供元である個人情報取扱事業者は、法第25条に基づき当該提供先に対する監督義務を負うことに留意が必要です。
    (令和3年9月更新)

検索キーワード