連邦
個人情報の保護に関する制度の有無
人情報の保護に関する制度は、包括的な法令としても、個別の分野に適用される法令としても存在しない。
なお、アラブ首長国連邦政府は、2021年9月5日、個人情報保護に関する包括的な法令が近いうちに制定される予定である旨を公表した。
個人情報の保護に関する制度についての指標となり得る情報
OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利
APEC の CBPR システム参加エコノミーである場合、民間部門については、外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるため、本項目に係る情報提供は必ずしも行う必要がない。
公的部門に関し、OECD プライバシーガイドライン8原則に対応する公的部門の主体の義務又は本人の権利については、以下のとおり。
- ① 収集制限の原則:該当する規定は不見当である。
- ② データ内容の原則:該当する規定は不見当である。
- ③ 目的明確化の原則:該当する規定は不見当である。
- ④ 利用制限の原則:該当する規定は不見当である。
- ⑤ 安全保護の原則:該当する規定は不見当である。
- ⑥ 公開の原則:該当する規定は不見当である。
- ⑦ 個人参加の原則:該当する規定は不見当である。
- ⑧ 責任の原則:該当する規定は不見当である。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度
- 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
- ① マネーロンダリング、テロリズムへの資金供与及び違法組織への資金供与対策に関する連邦法(Federal Decree-Law No. 20/2018 on Combating Money Laundering Crimes, the Financing of Terrorism and the Financing of Unlawful Organisations)
- 法執行機関は、UAEで適用される法律に反しない範囲で、犯罪やその証拠を発見したり、犯人を逮捕したりすることを目的として、覆面調査やその他の調査方法を採用し、コントロールド・デリバリーを行うことができる。
- 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
- アクセスの実施に関する手続
- 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
- アクセスの実施に関する独立した機関からの承認
- 取得された情報の取扱いの制限・安全管理
- アクセスの実施に関する透明性の確保
- アクセスの実施について法令順守を確保するための監督、調査及び審査の仕組み
- 違法なアクセスにより権利等を侵害された場合の救済
- ① マネーロンダリング、テロリズムへの資金供与及び違法組織への資金供与対策に関する連邦法(Federal Decree-Law No. 20/2018 on Combating Money Laundering Crimes, the Financing of Terrorism and the Financing of Unlawful Organisations)
【留意すべき事項】
-
個人情報の保護に関する法律(平成 15 年法律第 57 号)(以下「個人情報保護法」という。)第 28 条第 2 項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。
また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した 2021 年 10 月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第 28 条第 2 項及び個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第 3 号)第 17 条第 2 項に基づき、当該情報も本人に対して提供する必要がある。
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
- 個人情報の域内保存義務に係る制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- ※1 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
- ※2 APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
- ※3 OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。
(令和 4 年 1 月 25 日更新)
ADGM
個人情報の保護に関する制度の有無
包括的な法令として、以下の法令が存在する。
- 2021年データ保護規則(Data Protection Regulations 2021)
- URL:https://adgmen.thomsonreuters.com/sites/default/files/net_file_store/ADGM1547_23167_VER2021.pdf
- 施行状況:2021年2月11日施行
- 対象機関:公的部門及び民間部門
- 対象情報:データ主体に関連するあらゆる情報
個人情報の保護に関する制度についての指標となり得る情報
OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利
OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。
- ① 収集制限の原則:上記法令に規定されている。
- ② データ内容の原則:上記法令に規定されている。
- ③ 目的明確化の原則:上記法令に規定されている。
- ④ 利用制限の原則:上記法令に規定されている。
- ⑤ 安全保護の原則:上記法令に規定されている。
- ⑥ 公開の原則:上記法令に規定されている。
- ⑦ 個人参加の原則:上記法令に規定されている。
- ⑧ 責任の原則:上記法令に規定されている。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度
- 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- ※ アラブ首長国連邦の連邦法である、マネーロンダリング、テロリズムへの資金供与及び違法組織への資金供与対策に関する連邦法(Federal Decree-Law No. 20/2018 on Combating Money Laundering Crimes, the Financing of Terrorism and the Financing of Unlawful Organisations)があるが、当該制度については、「アラブ首長国連邦(連邦)」に関する情報を参照する必要がある。
【留意すべき事項】
-
個人情報の保護に関する法律(平成 15 年法律第 57 号)(以下「個人情報保護法」という。)第 28 条第 2 項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。
また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した 2021 年 10 月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第 28 条第 2 項及び個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第 3 号)第 17 条第 2 項に基づき、当該情報も本人に対して提供する必要がある。
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
- 個人情報の域内保存義務に係る制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- ※2 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
- ※2 APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
- ※3 OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。
(令和 4 年 1 月 25 日更新)
DHC
個人情報の保護に関する制度の有無
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
- 健康データ保護規則(Health Data Protection Regulation)
- URL:https://www.dhcc.ae/regulations/dhca-governance-laws
- 施行状況:2013年10月21日施行
- 対象機関:ライセンシー(ライセンスを受けた医療専門家等)
- 対象情報:口頭、書面又は電子記録の形態を問わず、ライセンシーが作成又は受領した、患者の身体的又は精神的な健康又は状態に関連する患者に関する情報
- URL:https://www.dhcc.ae/regulations/dhca-governance-laws
個人情報の保護に関する制度についての指標となり得る情報
OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利
OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。
- ① 収集制限の原則:上記法令に規定されている。
- ② データ内容の原則:上記法令に規定されている。
- ③ 目的明確化の原則:上記法令に規定されている。
- ④ 利用制限の原則:上記法令に規定されている。
- ⑤ 安全保護の原則:上記法令に規定されている。。
- ⑥ 公開の原則:上記法令に規定されている。
- ⑦ 個人参加の原則:上記法令に規定されている。
- ⑧ 責任の原則:上記法令に規定されている。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度
- 個個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- ※ アラブ首長国連邦の連邦法である、マネーロンダリング、テロリズムへの資金供与及び違法組織への資金供与対策に関する連邦法(Federal Decree-Law No. 20/2018 on Combating Money Laundering Crimes, the Financing of Terrorism and the Financing of Unlawful Organisations)があるが、当該制度については、「アラブ首長国連邦(連邦)」に関する情報を参照する必要がある。
【留意すべき事項】
-
個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した2021年10月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第28条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
- 個人情報の域内保存義務に係る制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- ※1 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
- ※2 APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
- ※3 OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。
(令和 4 年 1 月 25 日更新)
DIFC
個人情報の保護に関する制度の有無
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
- DIFCにおけるデータ保護に関する法律(DIFC Law No. 5/ of 2020 on the Data Protection)
- URL: https://www.difc.ae/application/files/6115/9358/6486/Data_Protection_Law_DIFC_Law_No.5_of_2020.pdf/
- 施行状況:2020年7月1日施行(ただし、上記法令への違反に関しては、2020年10月1日より執行可能)
- 対象機関:公的部門及び民間部門
- 対象情報:特定された自然人又は特定可能な自然人に関する情報
- URL: https://www.difc.ae/application/files/6115/9358/6486/Data_Protection_Law_DIFC_Law_No.5_of_2020.pdf/
個人情報の保護に関する制度についての指標となり得る情報
OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利
OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。
- ① 収集制限の原則:上記法令に規定されている。
- ② データ内容の原則:上記法令に規定されている。
- ③ 目的明確化の原則:上記法令に規定されている。
- ④ 利用制限の原則:上記法令に規定されている。
- ⑤ 安全保護の原則:上記法令に規定されている。。
- ⑥ 公開の原則:上記法令に規定されている。
- ⑦ 個人参加の原則:上記法令に規定されている。
- ⑧ 責任の原則:上記法令に規定されている。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度
- 個個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
-
- ※ アラブ首長国連邦の連邦法である、マネーロンダリング、テロリズムへの資金供与及び違法組織への資金供与対策に関する連邦法(Federal Decree-Law No. 20/2018 on Combating Money Laundering Crimes, the Financing of Terrorism and the Financing of Unlawful Organisations)があるが、当該制度については、「アラブ首長国連邦(連邦)」に関する情報を参照する必要がある。
【留意すべき事項】
-
個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した2021年10月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。
-
当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第28条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
- 個人情報の域内保存義務に係る制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
- 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
- ※1 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
- ※2 APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
- ※3 OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。
(令和 4 年 1 月 25 日更新)