「外的環境の把握」について、外国にある第三者に特定個人情報の取扱いを委託する場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。委託先が外国にある第三者に特定個人情報の取扱いを再委託した場合はどうですか。

16:外的環境の把握(令和4年4月追加)
Q16-3

「外的環境の把握」について、外国にある第三者に特定個人情報の取扱いを委託する場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。委託先が外国にある第三者に特定個人情報の取扱いを再委託した場合はどうですか。

A16-3

外国にある第三者に特定個人情報の取扱いを委託する場合、委託元は、委託先を通じて外国において特定個人情報を取り扱うこととなるため、委託先が所在する外国の個人情報の保護に関する制度等を把握した上で、委託先の監督その他の安全管理措置 を講じる必要があります。また、委託先が外国にある第三者に特定個人情報の取扱いを再委託する場合、委託元は、委託先及び再委託先を通じて外国において特定個人情報を取り扱うこととなるため、再委託先が所在する外国の制度等も把握した上で、安全管理措置を講じる必要があります。以上は、委託先や再委託先が、日本国内に所在するサーバに保存されている特定個人情報にアクセスして、これを取り扱う場合においても同様です。

なお、保有個人データ(個人情報保護法第 16 条第4項)に該当する特定個人情報に関しては、個人情報保護法第 32 条が適用されるため、かかる場合には、「保有個人データの安全管理のために講じた措置」(個人情報保護法第 32 条第1項第4号、個人情報保護法施行令第 10 条第1号)として、委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。(令和4年4月追加・令和6年5月更新)

検索キーワード