外国にある第三者に個人データを提供する際、基準適合体制を整備していること根拠として当該第三者に個人データを提供する場合、具体的にどのような点に留意する必要があるのか。

5 第三者提供等

Q5-10

外国にある第三者に個人データを提供する際、基準適合体制を整備していること根拠として当該第三者に個人データを提供する場合、具体的にどのような点に留意する必要があるのか。

A5-10

金融分野における個人情報取扱事業者は、基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供する場合には、当該提供の時点で、当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及び内容、当該外国の制度が存在する場合においては、当該第三者による相当措置の継続的な実施の確保の可否を、適切かつ合理的な方法により、確認する必要があります。

また、金融分野における個人情報取扱事業者は、基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した後は、個人情報保護法第28条第3項に従い、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずる必要があります。具体的には、当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的(年に1回程度又はそれ以上の頻度)に確認すること等が求められます(外国第三者提供ガイドライン6-1参照)

この際、金融分野ガイドライン第13条第3項は、金融分野における個人情報取扱事業者は、当該第三者による相当措置の実施状況を確認するにあたり、個人データを取り扱う場所に赴く方法又は書面により報告を受ける方法(当該第三者からホワイトペーパー等の形で報告を受け、それを参照することにより、当該第三者による相当措置の実施状況を確認できる場合を含みます。)により確認を行うことと規定(努力義務)しています。なお、これらの方法は、外国にある第三者に提供する個人データの規模及び性質並びに個人データの取扱状況等に起因するリスクに応じたものとする必要があります。

また、基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した場合は、本人の求めに応じて、当該必要な措置に関する情報を本人に提供する必要があります(個人情報保護法第28条第3項)。金融分野ガイドライン第13条第3項は、金融分野における個人情報取扱事業者は、本人の求めに応じて事後的に情報を提供する旨を個人情報保護宣言に記載の上インターネットのホームページへの常時掲載等により、公表することと規定(努力義務)しています。

さらに、金融分野ガイドライン第13条第4項は、金融分野における個人情報取扱事業者は、基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した場合、提供先の第三者が所在する外国の名称をインターネットのホームページに掲載すること等により、公表するとともに、定期的(年に1回程度又はそれ以上の頻度)に更新することが望ましいと規定(努力義務)しています。

検索キーワード