5 第三者提供等
- Q5-9
外国にある第三者への個人データの提供に関する本人の同意を得ようとする時点において、個人データの提供先の第三者が所在する外国が特定できない場合、具体的にどのような点に留意する必要があるか。
- A5-9
個人情報取扱事業者は、外国にある第三者への個人データの提供に関する本人の同意を得ようとする時点において、個人データの提供先の第三者が所在する外国が特定できない場合、本人に以下の情報を提供した上で、本人から当該第三者への個人データの提供を認める旨の同意を得る必要があります(個人情報保護法第28条第1項及び第2項並びに個人情報保護法施行規則第17条第3項)。
- ①当該外国が特定できない旨及びその理由(提供先が定まる前に、本人同意を得る必要性を含みます。)
- ②当該外国の名称に代わる本人に参考となるべき情報(移転先となる外国の候補等)
この際、移転先となる外国の候補が具体的に定まっており、当該外国の名称に代わる本人に参考となるべき情報の提供が可能であるにもかかわらず、これを本人に情報提供しなかった場合は、適法な情報提供とは認められません。このため、個人情報取扱事業者は、個人情報保護法施行規則第17条第2項から第4項までの規定により情報提供が求められる事項について本人に改めて情報提供した上で、外国にある第三者への個人データの提供を認める旨の本人の同意を得る必要があります。
また、金融分野ガイドライン第13条第2項は、金融分野における個人情報取扱事業者は、事後的に提供先の第三者が所在する外国を特定できた場合には、本人の求めに応じて、以下の①及び②の情報を、事後的に提供先の第三者が講ずる個人情報の保護のための措置についての情報提供が可能となった場合には、本人の求めに応じて、以下の③の情報を、本人に提供することと規定(努力義務)しています(外国第三者提供ガイドライン5-3参照)。また、このような情報提供の求めが可能である旨を同意書面における記載を通じて本人に認識させるとともに、金融分野ガイドライン第20条に定める「個人情報保護宣言」(プライバシーポリシー等)に記載の上インターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することと規定(努力義務)しています。
- ①当該外国の名称
- ②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- ③当該第三者が講ずる個人情報の保護のための措置に関する情報
さらに、この場合、金融分野ガイドライン第13条第4項は、金融分野における個人情報取扱事業者は、事後的に提供先の第三者が所在する外国が特定できた場合には、当該外国の名称をインターネットのホームページに掲載すること等により、公表するとともに、定期的(年に1回程度又はそれ以上の頻度)に更新することが望ましいと規定(努力義務)しています。