- 16:外的環境の把握(令和4年4月追加)
- Q16-2
「外的環境の把握」について、外国にある支店や営業所に特定個人情報を取り扱わせる場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。外国にある従業者に特定個人情報を取り扱わせる場合はどうですか。
- A16-2
個人番号利用事務等実施者は、外国にある支店や営業所に特定個人情報を取り扱わせる場合、外国において特定個人情報を取り扱うこととなるため、支店等が所在する外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要が あります。
また、外国に支店等を設置していない場合であっても、外国にある従業者に特定個人情報を取り扱わせる場合、本人が被る権利利益の侵害の大きさを考慮し、その特定個人情報の取扱状況(特定個人情報を取り扱う期間、取り扱う特定個人情報の量を含む。)等に起因するリスクに応じて、従業者が所在する外国の制度等を把握すべき場合もあると考えられます。例えば、外国に居住してテレワークをしている従業者に特定個人情報を取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度等も把握して 安全管理措置を講じる必要があると考えられます。他方、外国に出張中の従業者に一時的にのみ特定個人情報を取り扱わせる場合には、必ずしも、安全管理措置を講じるにあたって、外国の制度等を把握する必要まではないと考えられます。
以上は、外国にある支店等や従業者が、日本国内に所在するサーバに保存されている特定個人情報にアクセスして、これを取り扱う場合においても同様です。
なお、保有個人データ(個人情報保護法第 16 条第4項)に該当する特定個人情報に関しては、個人情報保護法第 32 条が適用されるため、外国の制度等を把握して安全管理措置を講じる場合には、「保有個人データの安全管理のために講じた措置」(個人情報保護法第 32 条第1項第4号、個人情報保護法施行令第 10 条第1号)として、支店等や従業者が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
(令和4年4月追加・令和6年5月更新)