平成28年11月
(令和3年1月一部改正)
個人情報保護委員会
目次
- 1本ガイドラインの位置付け
- 2 総論
- 2-1外国にある第三者への個人データの提供を認める旨の本人の同意
- 2-2外国にある第三者
- 3個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国
- 4個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準
- 4-1適切かつ合理的な方法(規則第11条の2第1号関係)
- 4-2法第4章第1節の規定の趣旨に沿った措置(規則第11条の2第1号関係)
- 4-2-1利用目的の特定(法第15条の趣旨に沿った措置)
- 4-2-2利用目的による制限(法第16条の趣旨に沿った措置)
- 4-2-3適正な取得(法第17条の趣旨に沿った措置)
- 4-2-4取得に際しての利用目的の通知(法第18条の趣旨に沿った措置)
- 4-2-5データ内容の正確性の確保等(法第19条の趣旨に沿った措置)
- 4-2-6安全管理措置(法第20条の趣旨に沿った措置)
- 4-2-7従業者の監督(法第21条の趣旨に沿った措置)
- 4-2-8委託先の監督(法第22条の趣旨に沿った措置)
- 4-2-9第三者提供の制限(法第23条の趣旨に沿った措置)
- 4-2-10外国にある第三者への提供の制限(法第24条の趣旨に沿った措置)
- 4-2-11保有個人データに関する事項の公表等(法第27条の趣旨に沿った措置)
- 4-2-12開示(法第28条の趣旨に沿った措置)
- 4-2-13訂正等(法第29条の趣旨に沿った措置)
- 4-2-14利用停止等(法第30条の趣旨に沿った措置)
- 4-2-15理由の説明(法第31条の趣旨に沿った措置)
- 4-2-16開示等の請求等に応じる手続(法第32条の趣旨に沿った措置)
- 4-2-17手数料(法第33条の趣旨に沿った措置)
- 4-2-18個人情報取扱事業者による苦情の処理(法第35条の趣旨に沿った措置)
- 4-3個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(規則第11条の2第2号関係)
- 【付録】
- 衆議院内閣委員会における附帯決議(平成27年5月20日)
- 参議院内閣委員会における附帯決議(平成27年8月27日)
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成15年法律第57号)
- 「政令」 個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「改正法」 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
1 本ガイドラインの位置付け
個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第4条、第8条及び第60条に基づき具体的な指針として「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を定めているが、法が定める事業者の義務のうち外国にある第三者への個人データの提供に関する部分に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に、本ガイドラインを定めるものである。
改正前の法第23条は、第三者に対する個人データの提供に関するルールを定めてはいたが、第三者が国内にあるのか、外国にあるのかの区別をしていなかった。しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、改正後の法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が設けられた。
当該規定は、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号。以下「改正法」という。)の国会における審議を踏まえ、事業者に対して新たな規制を課するものではなく、事業者において現在適切に行われている個人情報の取扱いを追認するものである必要がある。また、衆議院内閣委員会における附帯決議(平成27年5月20日)及び参議院内閣委員会における附帯決議(平成27年8月27日)を踏まえ、海外における個人情報の保護を図りつつ、国境を越えた個人情報の移転を不当に阻害しないよう現実的な規制を構築する必要がある。そこで、本ガイドラインにおいては、外国にある第三者に対する個人データの提供についての考え方、具体例等を示すこととする。
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが、法の趣旨を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。
なお、本ガイドラインにおいて使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例による。
2 総論
- 法第24条
- 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、法第24条に従い、次の①から③までのいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。
- ①当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定める国にある場合(※1)
- ②当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
- ③法第23条第1項各号に該当する場合(※2)
- (※1)規則で定める国とは、平成31年個人情報保護委員会告示第1号に定める国を指す。詳細については、3(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)を参照のこと。
- (※2)法第23条第1項
- 法令(※3)に基づいて個人データを提供する場合(第1号関係)
- 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)(※4)
- 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(第3号関係)
- 国の機関等が法令(※3)の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)
- (※3)この「法令」には外国の法令は含まれない。本ガイドラインの他の項目においても同様とする。
- (※4)例えば、海外の遠隔地で海外旅行保険の契約者に保険事故が発生し緊急の対応を要する際に、保険者が委託をしている現地のクレームエージェントに情報提供を行う場合等が考えられる。
外国にある第三者に対する個人データの提供が、法第23条に規定する方法のいずれにより行われるかによって、法第24条の適用が決まる。
- (1) 本人の同意に基づき提供する方法(法第23条第1項柱書)
- 当該同意が法第24条の「外国にある第三者への提供を認める旨の本人の同意」に該当する場合には、外国にある第三者に提供することができる。他方、当該同意が同条の「同意」に該当しない場合には、上記①又は②に該当するときに、外国にある第三者に提供することができる。
- (2) オプトアウトにより提供する方法(法第23条第2項)
- 上記①又は②に該当する場合に、外国にある第三者に提供することができる。
- (3) 委託、事業承継又は共同利用に伴って提供する方法(法第23条第5項各号)
- 法第24条の「外国にある第三者への提供を認める旨の本人の同意」を得た場合、又は、上記①又は②に該当する場合に、外国にある第三者に提供することができる。
- (4) 法第23条第1項各号に掲げる場合により提供する方法
- 法第24条の「外国にある第三者への提供を認める旨の本人の同意」を得ることなく、上記①又は②に該当しない場合においても、外国にある第三者に提供することができる。
下図は、外国にある第三者に個人データを提供する方法と法第24条の適用関係について整理したものである。
法第24条 | |||||
---|---|---|---|---|---|
【外国にある第三者への提供を認める旨の本人の同意】 | 【規則で定める基準に適合する体制を整備】 | 【規則で定められた国】 | |||
提供の方法 (法第23条) | (1)本人の同意 (法第23条第1項柱書) |
Ⅰ | Ⅰ | Ⅰ | |
(2)オプトアウト (法第23条第2項) |
― (注) |
Ⅰ | Ⅰ | ||
(3)委託、事業承継、 共同利用 (法第23条第5項各号) |
Ⅰ | Ⅰ | Ⅰ | ||
(4)法第23条第1項各号に掲げる場合 (法第23条第1項各号) |
Ⅱ | Ⅱ | Ⅱ |
- 【凡例】
- Ⅰ:法第24条の該当の措置を講ずる必要がある。
- Ⅱ:法第24条の該当の措置を講ずる必要はない。
(注)法第23条第2項に基づくオプトアウトによる個人データの第三者提供は、本人の同意を得ないことを前提としているため、この項目は該当無しとなる。
2-1 外国にある第三者への個人データの提供を認める旨の本人の同意
「本人の同意」とは、本人の個人データが、個人情報取扱事業者によって第三者に提供されることを承諾する旨の当該本人の意思表示をいう。
また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
個々の事例ごとに判断されるべきではあるが、法第24条において求められる本人の同意を取得する場合、本人の権利利益保護の観点から、外国にある第三者に個人データを提供することを明確にしなければならない。
なお、改正法の施行日前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第24条の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同条の同意があったものとみなす(改正法附則第3条)。
2-2 外国にある第三者
「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれる。具体的には、次のように該当性が判断される。
法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで第三者に該当するかを判断する。
例えば、日本企業が、外国の法人格を取得している当該企業の現地子会社に個人データを提供する場合には、当該日本企業にとって「外国にある第三者」への個人データの提供に該当するが、現地の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しない。
事例)外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当する。
また、外国の法令に準拠して設立され外国に住所を有する外国法人であっても、当該外国法人が法第2条第5項に規定する「個人情報取扱事業者」(※)に該当する場合には、「外国にある第三者」には該当しない。例えば、外国法人であっても、日本国内に事務所を設置している場合、又は、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められるときは、当該外国法人は、「個人情報取扱事業者」に該当するため、「外国にある第三者」には該当しない。
事例)日系企業の東京本店が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は「個人情報取扱事業者」に該当し、「外国にある第三者」には該当しない。
(※)「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)で定める独立行政法人等及び地方独立行政法人法(平成15年法律第118号)で定める地方独立行政法人を除いた者をいう。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。
また、個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当する。
3個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国
- 規則第11条
-
- 法第24条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
- 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
- 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること
- 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること
- 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
- 前4号に定めるもののほか、当該外国を法第24条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること
- 個人情報保護委員会は、前項の規定による外国を定める場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができる。
- 個人情報保護委員会は、第1項の規定による外国を定めた場合において、当該外国が第1項各号に該当していること又は当該外国について前項の規定により付された条件が満たされていることを確認するため必要があると認めるときは、当該外国における個人情報の保護に関する制度又は当該条件に係る対応の状況に関し必要な調査を行うものとする。
- 個人情報保護委員会は、第1項の規定による外国を定めた場合において、前項の調査の結果その他の状況を踏まえ、当該外国が第1項各号に該当しなくなったと認めるとき又は当該外国について第2項の規定により付された条件が満たされなくなったと認めるときは、第1項の規定による定めを取り消すものとする。
- 法第24条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国は、EU及び英国が該当する。ここでいうEUとは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指す(ただし、英国は含まない。)。
なお、EU及び英国の指定は、日EU間で相互の円滑な個人データ移転を図るために、欧州委員会による日本への十分性認定(GDPR(※)第45条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定をいう。)に併せて行ったものである。
(※)個人データの取扱いに係る自然人の保護及び当該データの自由な移転並びに指令95/46/ECの廃止に関する欧州議会及び欧州理事会規則(一般データ保護規則)(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation))
4 個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準
- 規則第11条の2
- 法第24条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
- 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
- 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準については、規則第11条に規定されている。なお、必要な体制が整備されていることについて、個人情報保護委員会に対する事前の届出等は要しない。
4-1 適切かつ合理的な方法(規則第11条の2第1号関係)
「適切かつ合理的な方法」は、個々の事例ごとに判断されるべきであるが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある。
例えば、次の事例が該当する。
- 事例1)外国にある事業者に個人データの取扱いを委託する場合
- 提供元及び提供先間の契約、確認書、覚書等
- 事例2)同一の企業グループ内で個人データを移転する場合
- 提供元及び提供先に共通して適用される内規、プライバシーポリシー等
また、アジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システム(※)の認証を取得している事業者は、その取得要件として、当該事業者に代わって第三者に個人情報を取り扱わせる場合においても、当該事業者が本人に対して負う義務が同様に履行されることを確保する措置を当該第三者との間で整備している必要があることとされている。
したがって、提供元の個人情報取扱事業者がCBPRの認証を取得しており、提供先の「外国にある第三者」が当該個人情報取扱事業者に代わって個人情報を取り扱う者である場合には、当該個人情報取扱事業者がCBPRの認証の取得要件を充たすことも、「適切かつ合理的な方法」の一つであると解される。なお、提供先の「外国にある第三者」がCBPRの認証を取得している場合については、本ガイドライン4-3(個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(規則第11条の2第2号関係))を参照のこと。
- (※)APEC CBPRシステム
- 事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度。
- APECの参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティエージェント(AA)を登録する。このAAが事業者について、その申請に基づきAPECプライバシーフレームワークへの適合性を認証する。
なお、この措置を講じなければならない対象は、実際に提供を行った「当該個人データ」であることから、提供先で取り扱っている他の個人情報の取扱いについてまで当該措置を講ずることが求められているものではない。
4-2 法第4章第1節の規定の趣旨に沿った措置(規則第11条の2第1号関係)
法第24条の「この節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置」に該当するものとして規則第11条の2第1号に「法第4章第1節の規定の趣旨に沿った措置」と規定されている。
具体的には、国際的な整合性を勘案して別表2(※1)のとおりとなる。なお、国際的な整合性の判断は、経済協力開発機構(OECD)におけるプライバシーガイドラインやAPECにおけるプライバシーフレームワークといった国際的な枠組みの基準に準拠している。
法第4章第1節の 規定の趣旨に沿った措置 | (参考) | ||
---|---|---|---|
OECDプライバシー ガイドライン |
APECプライバシー フレームワーク |
||
第15条 | 利用目的の特定 | ○ | ○ |
第16条 | 利用目的による制限 | ○ | ○ |
第17条 | 適正な取得 | ○ | ○ |
第18条 | 取得に際しての利用目的の通知等 | ○ | ○ |
第19条 | データ内容の正確性の確保等 | ○ | ○ |
第20条 | 安全管理措置 | ○ | ○ |
第21条 | 従業者の監督 | ○ | (※2) |
第22条 | 委託先の監督 | ○ | ○ |
第23条 | 第三者提供の制限 | ○ | ○ |
第24条 | 外国にある第三者への提供の制限 | ○ | ○ |
第27条 | 保有個人データに関する事項の公表等 | ○ | ○ |
第28条 | 開示 | ○ | ○ |
第29条 | 訂正等 | ○ | ○ |
第30条 | 利用停止等 | ○ | ○ |
第31条 | 理由の説明 | ○ | ○ |
第32条 | 開示等の請求等に応じる手続 | ○ | ○ |
第33条 | 手数料 | ○ | ○ |
第35条 | 個人情報取扱事業者による苦情の処理 | ○ | (※3) |
- (※1)法第4章第1節の各規定と国際的な枠組みの基準(OECDプライバシーガイドライン及びAPECプライバシーフレームワーク)とを対比した上で、当該各規定の趣旨が当該国際的な枠組みの基準に整合していると解される場合に「○」と記載している。
- (※2)従業者の監督については、APECプライバシーフレームワークに規定はないものの、安全管理措置(法第20条)の一部であることから、外国にある第三者においても措置を講じなければならない。
- (※3)苦情の処理については、APECプライバシーフレームワークに規定はないものの、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度であるCBPRシステムに参加する事業者の参加要件となっていることから、外国にある第三者においても措置を講じなければならない。
上記を踏まえ、「法第4章第1節の規定の趣旨に沿った措置」として4-2-1から4-2-18までに記述する事項について、適切かつ合理的な方法(4-1参照)に記述する方法によって担保されていなければならない。
個人情報取扱事業者は、契約等に4-2-1から4-2-18までに記述する全ての事項を規定しなければならないものではなく、「法第4章第1節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、措置の実施が確保されていれば足りる。
次の4-2-1から4-2-18までにおいては、外国にある第三者への個人データの提供に関する典型的な事例として、【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合及び【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合を挙げ、外国にある第三者又は提供元である日本にある個人情報取扱事業者(以下「外国にある第三者等」という。)が講ずべき措置の具体例を示すこととする。
4-2-1 利用目的の特定(法第15条の趣旨に沿った措置)
- 法第15条
-
- 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
- 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約において、外国にある事業者による利用目的を特定する。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 就業規則等において利用目的を特定する。
外国にある第三者等は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が外国にある第三者等において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい(※)。
(※)委託契約や就業規則等の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される。なお、利用目的の特定に当たり「○○事業」のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。
また、単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される。
なお、特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内(※)で変更することは可能である。
(※)「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。
4-2-2 利用目的による制限(法第16条の趣旨に沿った措置)
- 法第16条
- 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
- 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
- 前二項の規定は、次に掲げる場合については、適用しない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 従業員情報を就業規則において特定された利用目的の範囲内で利用する。なお、利用目的の範囲を超える場合には、当該従業員の同意(※)を得る必要があるが、その場合、日本にある個人情報取扱事業者が同意を取得することも認められるものと解される。
外国にある第三者等は、特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意(※)を得なければならない。ただし、当該同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しない。
(※)「本人の同意」とは、本人の個人情報が、外国にある第三者等によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。
また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該外国にある第三者等が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
- 【本人の同意を得ている事例】
- 事例1)本人からの同意する旨の口頭による意思表示
- 事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領
- 事例3)本人からの同意する旨のメールの受信
- 事例4)本人による同意する旨の確認欄へのチェック
- 事例5)本人による同意する旨のホームページ上のボタンのクリック
- 事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
4-2-3 適正な取得(法第17条の趣旨に沿った措置)
- 法第17条(第1項)
-
- 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
<参考>
- 法第17条(第2項)
-
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- その他前各号に掲げる場合に準ずるものとして政令で定める場合
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 外国にある親会社が内規等に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
なお、要配慮個人情報に係る規制については、国によっていわゆるセンシティブ情報の対象は異なり得ることから(OECDプライバシーガイドラインの説明覚書(1980年))、国際的な整合性にも鑑みて、「措置」を講ずることは要しない。
4-2-4 取得に際しての利用目的の通知(法第18条の趣旨に沿った措置)
- 法第18条
-
- 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
- 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
- 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
- 前三項の規定は、次に掲げる場合については、適用しない。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 日本にある個人情報取扱事業者が従業員に対して利用目的の通知等をする。
- 法第18条
-
- 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
- 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
- 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
- 前三項の規定は、次に掲げる場合については、適用しない。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合
外国にある第三者等は、個人情報を取得する場合は、あらかじめその利用目的を公表(※1)していることが望ましい。公表していない場合は、取得後速やかに、その利用目的を、本人に通知(※2)するか、又は公表しなければならない。
(※1)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
- 【公表に該当する事例】
- 事例1)自社のホームページのトップページから1回程度の操作で到達できる場所への掲載
- 事例2)自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
- 事例3)(通信販売の場合)通信販売用のパンフレット・カタログ等への掲載
(※2)「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
- 【本人への通知に該当する事例】
- 事例1)ちらし等の文書を直接渡すことにより知らせること。
- 事例2)口頭又は自動応答装置等で知らせること。
- 事例3)電子メール、FAX等により送信し、又は文書を郵便等で送付することにより知らせること。
そのほか、詳細については、通則ガイドライン3-2-3(利用目的の通知又は公表)から3-2-5(利用目的の通知等をしなくてよい場合)までを参照のこと。
4-2-5 データ内容の正確性の確保等(法第19条の趣旨に沿った措置)
- 法第19条
- 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うこととする。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 日本にある個人情報取扱事業者を通じて従業員情報の正確性を確保する。
外国にある第三者等は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。
なお、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。
また、外国にある第三者等は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない(※)。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。
- 【個人データについて利用する必要がなくなったときに該当する事例】
- 事例)キャンペーンの懸賞品送付のため、当該キャンペーンの応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合
(※)「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。
そのほか、詳細については、通則ガイドライン3-3-1(データ内容の正確性の確保等)を参照のこと。
4-2-6 安全管理措置(法第20条の趣旨に沿った措置)
- 法第20条
- 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により外国にある親会社が安全管理措置を講ずる旨を規定する。
外国にある第三者等は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。具体的に講じなければならない措置や当該項目を実践するための手法の例等については、通則ガイドラインの「8(別添)講ずべき安全管理措置の内容」を参照のこと。
4-2-7 従業者の監督(法第21条の趣旨に沿った措置)
- 法第21条
- 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約により外国にある事業者の従業者の監督に係る措置を規定する。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により外国にある親会社の従業者の監督に係る措置を規定する。
- 法第21条
- 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
外国にある第三者等は、その従業者に個人データを取り扱わせるに当たって、法第20条の趣旨に沿った安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい。
「従業者」とは、外国にある第三者等の組織内にあって直接間接に事業者の指揮監督を受けて当該者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
- 【従業者に対して必要かつ適切な監督を行っていない事例】
- 事例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
- 事例2)内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合
4-2-8 委託先の監督(法第22条の趣旨に沿った措置)
- 法第22条
- 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により外国にある親会社の再委託先の監督に係る措置を規定する。
外国にある第三者等は、個人データの取扱いの全部又は一部を委託(※1)する場合は、委託を受けた者(以下「委託先」という。)において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。具体的には、外国にある第三者等は、法第20条の趣旨に沿って自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする(※2)。
その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない(※3)。
- (1)適切な委託先の選定
- 委託先の選定に当たっては、委託先の安全管理措置が、少なくとも委託元に求められるものと同等であることを確認するため、通則ガイドラインの「8(別添)講ずべき安全管理措置の内容」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
- (2)委託契約の締結
- 委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
- (3)委託先における個人データ取扱状況の把握
- 委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条の趣旨に沿った安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。
なお、再委託については、「4-2-10 外国にある第三者への提供の制限」も参照のこと。
- 【委託を受けた者に対して必要かつ適切な監督を行っていない事例】
- 事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
- 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
- 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
- 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合
- (※1)「個人データの取扱の委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。
- (※2)委託元が法第20条が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、法第20条が求める水準の安全管理措置を講じれば足りると解される。
- (※3)委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられる。
- (※4)委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。
4-2-9 第三者提供の制限(法第23条の趣旨に沿った措置)
- 法第23条(第1項、第5項、第6項)
-
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
<参考>
- 法第23条(第2項、第3項)
-
- 2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
- 第三者への提供を利用目的とすること。
- 第三者に提供される個人データの項目
- 第三者への提供の方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
- 本人の求めを受け付ける方法
- 個人情報取扱事業者は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
- 2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
- 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により外国にある事業者からの個人データの第三者提供を禁止する。
「外国にある第三者」から、別の「第三者」に提供する際には、法第23条第1項、第5項、第6項の趣旨に沿った措置を講じなければならない。なお、提供先の第三者が「外国にある第三者」(提供元である外国にある第三者と同一の国内にある第三者を含む。)の場合は、「4-2-10 外国にある第三者への提供の制限」を参照のこと。
外国にある第三者等は、個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはならない。同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない(4-2-1(利用目的の特定)参照)。
なお、オプトアウトによる個人データの第三者提供(法第23条第2項から第3項まで)は、個人情報保護委員会への届出等を定める規定であるため、その性質上、外国にある第三者等が講ずべき措置からは除外される。
4-2-10 外国にある第三者への提供の制限(法第24条の趣旨に沿った措置)
- 法第24条
- 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国にある事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法第22条の委託先の監督義務(4-2-8)のほか、法第4章第1節の規定の趣旨に沿った措置の実施を確保する。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により外国にある親会社からの個人データの第三者提供を禁止する。
外国にある親会社から更に他の国にある子会社等に個人データを移転する場合にも、内規等により法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
「外国にある第三者」から、別の「外国にある第三者」(提供元である外国にある第三者と同一の国内にある第三者を含む。)に提供する際には、「2.総論」の整理に沿って、対応をしなければならない。
4-2-11 保有個人データに関する事項の公表等(法第27条の趣旨に沿った措置)
- 法第27条
-
- 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 当該個人情報取扱事業者の氏名又は名称
- 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
- 次項の規定による求め又は次条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
- 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
- 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- 第18条第4項第1号から第3号までに該当する場合
- 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」(※)に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。
(※)「保有個人データ」とは、外国にある第三者等が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全て(以下「開示等」という。)に応じることができる権限を有する「個人データ」をいう。
ただし、個人データのうち、次に掲げるもの又は6か月以内に消去する(更新することは除く。)こととなるものは、「保有個人データ」ではない。
- (1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
- 事例)家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データ
- (2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
- 事例1)暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ
- 事例2)不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ
- (3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
- 事例1)製造業者、情報サービス事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計又は開発の担当者名が記録された、当該担当者を本人とする個人データ
- 事例2)要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ
- (4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
- 事例1)警察から捜査関係事項照会等がなされることにより初めて取得した個人データ
- 事例2)警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ(※なお、当該契約者情報自体は「保有個人データ」に該当する。)
- 事例3)犯罪による収益の移転防止に関する法律(平成19年法律第22号)第8条第1項に基づく疑わしい取引(以下「疑わしい取引」という。)の届出の有無及び届出に際して新たに作成した個人データ
- 事例4)振り込め詐欺に利用された口座に関する情報に含まれる個人データ
提供する個人データが外国にある第三者にとって「保有個人データ」(※)に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-1(保有個人データに関する事項の公表等)を参照のこと。
4-2-12 開示(法第28条の趣旨に沿った措置)
- 法第28条
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
- 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が開示に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が開示に係る義務を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-2(保有個人データの開示)を参照のこと。
4-2-13 訂正等(法第29条の趣旨に沿った措置)
- 法第29条
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
- 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が訂正等に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が訂正等に係る義務を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-3(保有個人データの訂正等)を参照のこと。
4-2-14 利用停止等(法第30条の趣旨に沿った措置)
- 法第30条
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第23条第1項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が利用停止等に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が利用停止等に係る義務を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-4(保有個人データの利用停止等)を参照のこと。
4-2-15 理由の説明(法第31条の趣旨に沿った措置)
- 法第31条
- 個人情報取扱事業者は、第27条第3項、第28条第3項、第29条第3項又は前条第5項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が理由の説明に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が理由の説明に係る義務を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-5(理由の説明)を参照のこと。
4-2-16 開示等の請求等に応じる手続(法第32条の趣旨に沿った措置)
- 法第32条
-
- 個人情報取扱事業者は、第27条第2項の規定による求め又は第28条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求(以下この条及び第53条第1項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
- 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
- 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
- 個人情報取扱事業者は、前3項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が開示等の請求等に応じる手続を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が開示等の請求等に応じる手続を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-6(開示等の請求等に応じる手続)を参照のこと。
4-2-17 手数料(法第33条の趣旨に沿った措置)
- 法第33条
-
- 1 個人情報取扱事業者は、第27条第2項の規定による利用目的の通知を求められたとき又は第28条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
- 2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が手数料に係る措置を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が手数料に係る措置を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-5-7(手数料)を参照のこと。
4-2-18 個人情報取扱事業者による苦情の処理(法第35条の趣旨に沿った措置)
- 法第35条
-
- 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
- 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
- 【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合
- 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が法第35条に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 - 【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
- 内規等により、日本にある個人情報取扱事業者が法第35条に係る義務を履行することについて明確にする。
提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-6(個人情報の取扱いに関する苦情処理について)を参照のこと。
4-3個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(規則第11条の2第2号関係)
「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要がある。
これには、提供先の外国にある第三者が、APECのCBPRシステムの認証を取得していることが該当する。なお、個人データを提供する者がCBPRの認証を取得している場合については、本ガイドライン4-1(適切かつ合理的な方法(規則第11条の2第1号関係))を参照のこと。
【付録】
- ○衆議院内閣委員会における附帯決議(平成27年5月20日)
- 1~2 (略)
- 3 国境を越えた個人情報の移転は、合理的で安全なサービスの提供を可能にし、社会に裨益するものであることを踏まえ、海外における個人情報の保護を図りつつ、国境を越えた個人情報の移転を不当に阻害しないよう必要な措置を講ずること。
(以下省略) - ○参議院内閣委員会における附帯決議(平成27年8月27日)
- 1~2 (略)
- 3 国境を越えた個人情報の移転は、合理的で安全なサービスの提供を可能にし、社会に役立つものであることを踏まえ、海外における個人情報の保護を図りつつ、個人情報の移転を不当に阻害しないよう必要な措置を講ずること。
(以下省略)