「外的環境の把握」について、外国にある第三者の提供するクラウドサービ スを利用し、その管理するサーバに特定個人情報を保存する場合、当該外国の個人情 報の保護に関する制度等を把握する必要がありますか。

16:外的環境の把握(令和4年4月追加)
Q16-4

「外的環境の把握」について、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに特定個人情報を保存する場合、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。

A16-4

外国にある第三者の提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が特定個人情報を取り扱わないこととなっている場合には、特定個人情報の第三者への「提供」には該当しませんが、個人番号利用事務等実施者は、 自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(Q3-12、Q3-13 参照)。

この場合、個人番号利用事務等実施者は、外国において特定個人情報を取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに特定個人情報が保存される場合においても同様です。

なお、保有個人データ(個人情報保護法第 16 条第4項)に該当する特定個人情報に関しては、個人情報保護法第 32 条が適用されるため、かかる場合には、「保有個人データの安全管理のために講じた措置」(個人情報保護法第 32 条第1項第4号、個人情報保護法施行令第 10 条第1号)として、クラウドサービス提供事業者が所在する外国の名称及び特定個人情報の含まれる個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、特定個人情報の含まれる個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、マル1サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。
(令和4年4月追加・令和6年5月更新)

検索キーワード