5 第三者提供等
- Q5-8
本人の同意に基づいて外国にある第三者に個人データを提供する場合、具体的にどのような点に留意する必要があるのか。
- A5-8
個人情報取扱事業者は、外国(注1)にある第三者に個人データを提供する場合、本人に以下の情報を提供した上で、本人から当該第三者への個人データの提供を認める旨の同意を得る必要があります(個人情報保護法第28条第1項及び第2項並びに個人情報保護法施行規則第17条第2項)。
- マル1当該外国の名称
- ②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(注2)(注3)
- ③当該第三者が講ずる個人情報の保護のための措置に関する情報
この際、金融分野ガイドライン第13条第1項は、金融分野における個人情報取扱事業者は、個人情報保護法施行規則第17条第2項から第4項までの規定により情報提供が求められる事項に加えて、以下の情報を提供することと規定(努力義務)しています。
- ④個人データの提供先の第三者
- ⑤提供者の第三者における利用目的
- ⑥第三者に提供される個人データの項目
また、金融分野ガイドライン第13条第1項は、外国にある第三者への個人データの提供を認める旨の本人の同意を取得するに当たり、あらかじめ作成された同意書面を用いる場合には、外国にある第三者への提供に関する条項が他の個人情報の取扱いに関する条項と明確に区別され、本人に理解されることが望ましいとしています。具体的には、例えば、文字の大きさやフォントを変えるほか、Webページで本人の同意を得る場合は他の個人情報の取扱いに関する条項とチェックボックスを分けることが考えられます。
これらの他、本人の同意を得ようとする時点において、個人データの提供先の第三者が所在する外国が特定できない場合の対応は問Ⅵ-9、個人情報保護法第4章第2節の規定により個人情報取扱事業者が講ずべき措置に相当する措置(以下「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護法施行規則第16条に定める基準に適合する体制(以下「基準適合体制」という。)を整備していることを根拠として外国にある第三者に個人データを提供する場合の対応はq5-10を参照してください。
- (注1)「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国は除きます。具体的には、令和3年9月時点でEU(アイスランド、アイルランド、イタリア、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク)及び英国が該当します。(外国第三者提供ガイドライン3参照。)
- (注2)外国にある第三者への個人データの提供を認める旨の本人の同意を得た上で当該第三者に個人データを提供した後に、当該外国における個人情報の保護に関する制度の変更があり、我が国の個人情報保護法との間の本質的な差異の認識に影響を及ぼすような重要な変更がなされたことを提供元の事業者が認識した場合には、本人に情報提供することが望ましいと考えられます。
- (注3)個人情報保護委員会では、一定の国又は地域における個人情報の保護に関する制度について調査し、我が国の個人情報保護法との間の本質的な差異の把握に資する一定の情報を公表しています。
個人情報保護法第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する個人情報取扱事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれます。また、個人情報取扱事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得ます。したがって、個人情報保護法施行規則第17条第2項第2号に基づく「適切かつ合理的な方法」による確認は、外国にある第三者に対して個人データを提供する個人情報取扱事業者の責任において行うべきものであり、個人情報保護委員会が提供する情報は、あくまで補助的なものとして参照する必要があります。もっとも、当該事業者が当該外国における個人情報の保護に関する制度に関する情報について一般的な注意力をもって適切かつ合理的な方法により確認を尽くした結果、当該事業者として本人に提供すべき情報が、上記のとおり個人情報保護委員会が補助的なものとして提供する情報(以下「委員会提供情報」といいます。)と同じであった場合には、当該委員会提供情報を個人情報保護法施行規則第17条第2項第2号の「適切かつ合理的な方法」により得られた情報として本人に提供することは考えられます。なお、当該事業者が、当該委員会提供情報以外にも個人情報保護法施行規則第17条第2項に基づいて本人に対して提供すべき情報を保有している場合には、当該情報も本人に対して提供する必要があります。
また、その場合、当該事業者は、当該委員会提供情報の掲載されたWebページのURLを自社のホームページに掲載し、当該URLの指定するWebページに掲載された情報を本人に閲覧させる方法も、個人情報保護法施行規則第17条第1項における「適切な方法」に該当すると考えられます。ただし、この場合であっても、例えば、当該URLを同意書面の本人にとって分かりやすい場所に掲載するほか、紙媒体の同意書面を用いる場合には当該URLの近くにQRコードを掲載すること等により、同意の可否の判断の前提として、本人に対して当該情報の確認を明示的に求めるなど、本人が当該URLの指定するWebページに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要があると考えられます。
(参考)
「外国における個人情報の保護に関する制度等の調査」(個人情報保護委員会ウェブサイト)
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku