個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）

1　本ガイドラインの位置付け

個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法第4条、第9条及び第131条に基づき具体的な指針として通則ガイドラインを定めているが、法が定める事業者の義務のうち外国にある第三者への個人データの提供に関する部分に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に、本ガイドラインを定めるものである。

平成27年改正法による改正前の法第23条は、第三者に対する個人データの提供に関するルールを定めてはいたが、第三者が国内にあるのか、外国にあるのかの区別をしていなかった。しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、平成27年改正法による改正後の法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が設けられた。

当該規定は、平成27年改正法の国会における審議を踏まえ、事業者に対して新たな規制を課するものではなく、事業者において適切に行われている個人情報の取扱いを追認するものである必要があるとされた。

また、衆議院内閣委員会における附帯決議（平成27年5月20日）及び参議院内閣委員会における附帯決議（平成27年8月27日）を踏まえ、海外における個人情報の保護を図りつつ、国境を越えた個人情報の移転を不当に阻害しないよう現実的な規制を構築する必要があるとされた。

さらに、海外への業務委託の一般化やビジネスモデルの複雑化が進み、個人情報の越境移転の機会が広がる中、個人データの越境移転に伴うリスクも変化しつつある。このようなリスクの変化に対応する観点から、令和2年改正法により、個人データの越境移転に関する本人への情報提供の充実等が求められることとなった。

本ガイドラインにおいては、外国にある第三者に対する個人データの提供についての考え方、具体例等を示すこととする。

本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが、法の趣旨を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。

なお、本ガイドラインにおいて使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例による。

2　総論

法第28条（第1項）

個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下この条及び第31条第1項第2号において同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第3項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。）に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、法第28条第1項に従い、次の(1)から(3)までのいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。

当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合（※1）
当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合（※2）
次の①から⑦までのいずれかに該当する場合（法第27条第1項各号関係）
- ①法令（※3）に基づいて個人データを提供する場合（第1号関係）
- ②人（法人を含む。）の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合（第2号関係）（※4）
- ③公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合（第3号関係）
- ④国の機関等が法令（※3）の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合（第4号関係）
- ⑤学術研究機関等が個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合（個人の権利利益を不当に侵害するおそれがある場合を除く。）（第5号関係）
- ⑥学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者（学術研究機関等であるか否かを問わない）に当該個人データを学術研究目的で提供する必要がある場合（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（第6号関係）
- ⑦学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（第7号関係）
  - （※1）規則で定める国とは、平成31年個人情報保護委員会告示第1号に定める国を指す。詳細については、3（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国）を参照のこと。
  - （※2)個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準の詳細については、4（個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準）を参照のこと。外国にある第三者が当該基準に適合する体制を整備していることを根拠として、当該外国にある第三者に対して個人データの提供を行った場合には、個人情報取扱事業者は、法第28条第3項に基づき、当該外国にある第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要がある。詳細については、6（個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している者に個人データを提供した場合に講ずべき措置等）を参照のこと。
  - （※3）この「法令」には外国の法令は含まれない。本ガイドラインの他の項目においても同様とする。
  - （※4）例えば、海外の遠隔地で海外旅行保険の契約者に保険事故が発生し緊急の対応を要する際に、保険者が委託をしている現地のクレームエージェントに情報提供を行う場合等が考えられる。

上記（1）の場合、当該第三者が所在する国は、法第28条第1項における「外国」に該当しない。また、上記（2）の場合、当該第三者は、法第28条第1項における「第三者」に該当しない。したがって、これらの場合には、法第28条第1項の適用がないため、個人情報取扱事業者は、当該第三者への個人データの提供に際して、「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要はない。

ただし、当該第三者への個人データの提供に当たっては、法第27条の規定による次の（ア）から（エのいずれかの方法による必要がある。

（ア）本人の同意に基づき提供する方法（法第27条第1項柱書）
（イ）法第27条第1項各号に掲げる場合により提供する方法（「法第27条第1項各号に掲げる場合」の内容については、上記（3）参照）
（ウ）オプトアウトにより提供する方法（法第27条第2項）
（エ）委託、事業承継又は共同利用に伴って提供する方法（法第27条第5項各号）

2-1 外国にある第三者への個人データの提供を認める旨の本人の同意

ここでいう「本人の同意」とは、本人の個人データが、個人情報取扱事業者によって外国にある第三者に提供されることを承諾する旨の当該本人の意思表示をいう。

また、「本人の同意を得（る）」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。

なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。

法第 28条第1項において求められる本人の同意を得ようとする場合には、本人に対し、法第28条第2項に基づく情報提供を行わなければならない。同意取得時に本人に提供すべき情報については、5（同意取得時の情報提供を参照のこと。

なお、平成27年改正法の施行日前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が平成27年改正法による改正後の法第24条（現行法第28条）の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同条の同意があったものとみなす（平成27年改正法附則第3条）。

また、令和3年改正法第 50 条の規定の施行日（令和４年４月１日）前に別表第二法人等（法別表第2に掲げる法人、法第58条第2項の規定により個人情報取扱事業者、仮名加工情報取扱事業者若しくは個人関連情報取扱事業者とみなされる独立行政法人労働者健康安全機構又は学術研究機関等である同個人情報取扱事業者をいう。以下同じ。）に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第28条第1項の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす（令和3年改正法附則第7条第5項）。

同様に、令和 3 年改正法第 51 条の規定の施行日（令和 5 年 4 月 1 日）前に特定地方独立行政法人等（法第 58 条第 1 項第 2 号に掲げる者又は同条第2 項の規定により個人情報取扱事業者、仮名加工情報取扱事業者若しくは個人関連情報取扱事業者とみなされる法第 58 条第 2 項第 1 号に掲げる者をいう。以下同じ。）に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第 28 条第 1 項の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものとみなす（令和 3 年改正法附則第 9 条第 5項）。

2-2 外国にある第三者

「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれる。具体的には、次のように該当性が判断される。

法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで「第三者」に該当するかを判断する。

例えば、日本企業が、外国の法人格を取得している当該企業の現地子会社に個人データを提供する場合には、当該日本企業にとって「外国にある第三者」への個人データの提供に該当するが、現地の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しない。

事例）外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当する。

また、外国の法令に準拠して設立され外国に住所を有する外国法人であっても、例えば、日本国内に事務所を設置している場合、又は、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められるとき（※1）は、当該外国法人は、「外国にある第三者」には該当しない。

事例）日系企業の東京本店が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は、日本国内で「個人情報データベース等」を事業の用に供している「個人情報取扱事業者」（※２）に該当し、「外国にある第三者」には該当しない。

（※１）ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。
（※２）「個人情報取扱事業者」（法第16条第2項）とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、法第2条第9項に規定する独立行政法人等（別表第2に掲げる法人を除く。）及び法第2条第10項に規定する地方独立行政法人（地方独立行政法人法（平成 15 年法律第 118 号）第 21 条第 1 号に掲げる業務を主たる目的とするもの又は同条第 2 号若しくは第 3 号（チに係る部分に限る。）に掲げる業務を目的とするものを除く。）を除いた者をいう。
なお、個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当する。

３個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国

規則第15条

法第28条第1項の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
- 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること。
- 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること。
- 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること。
- 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること。
- 前四号に定めるもののほか、当該外国を法第28条第1項の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること。
個人情報保護委員会は、前項の規定による外国を定める場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができる。
個人情報保護委員会は、第１項の規定による外国を定めた場合において、当該外国が第１項各号に該当していること又は当該外国について前項の規定により付された条件が満たされていることを確認するため必要があると認めるときは、当該外国における個人情報の保護に関する制度又は当該条件に係る対応の状況に関し必要な調査を行うものとする。
個人情報保護委員会は、第１項の規定による外国を定めた場合において、前項の調査の結果その他の状況を踏まえ、当該外国が第１項各号に該当しなくなったと認めるとき又は当該外国について第２項の規定により付された条件が満たされなくなったと認めるときは、第１項の規定による定めを取り消すものとする。

個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国は、EU及び英国が該当する。ここでいうEUとは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」（平成31年個人情報保護委員会告示第１号）に定める国を指す（ただし、英国は含まない。）。

なお、EU及び英国の指定は、日EU間で相互の円滑な個人データ移転を図るために、欧州委員会による日本への十分性認定（GDPR（※）第45条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定をいう。）に併せて行ったものである。

（※）個人データの取扱いに係る自然人の保護及び当該データの自由な移転並びに指令95/46/ECの廃止に関する欧州議会及び欧州理事会規則（一般データ保護規則）（REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC（General Data Protection Regulation））

4　個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準

規則第16条

法第28条第1項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。

個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。
個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準については、規則第16条に規定されている。なお、必要な体制が整備されていることについて、個人情報保護委員会に対する事前の届出等は要しない。

4-1 適切かつ合理的な方法（規則第16条第1号関係）

「適切かつ合理的な方法」は、個々の事例ごとに判断されるべきであるが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある。

例えば、次の事例が該当する。

事例1）外国にある事業者に個人データの取扱いを委託する場合: 　　　提供元及び提供先間の契約、確認書、覚書等
事例2）同一の企業グループ内で個人データを移転する場合: 　　　提供元及び提供先に共通して適用される内規、プライバシーポリシー等

また、アジア太平洋経済協力（APEC）の越境プライバシールール（CBPR）システム（※）の認証を取得している事業者は、その取得要件として、当該事業者に代わって第三者に個人情報を取り扱わせる場合においても、当該事業者が本人に対して負う義務が同様に履行されることを確保する措置を当該第三者との間で整備している必要があることとされている。

したがって、提供元の個人情報取扱事業者がCBPRの認証を取得しており、提供先の「外国にある第三者」が当該個人情報取扱事業者に代わって個人情報を取り扱う者である場合には、当該個人情報取扱事業者がCBPRの認証の取得要件を充たすことも、「適切かつ合理的な方法」の一つであると解される。なお、提供先の「外国にある第三者」がCBPRの認証を取得している場合については、4-3 （個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること）を参照のこと。

（※）APEC CBPRシステム: 　　　事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度。; 　　　APECの参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティエージェント（AA）を登録する。このAAが事業者について、その申請に基づきAPECプライバシーフレームワークへの適合性を認証する。

なお、この措置を講じなければならない対象は、実際に提供を行った「当該個人データ」であることから、提供先で取り扱っている他の個人情報の取扱いについてまで当該措置を講ずることが求められているものではない。

4-2 法第4章第2節の規定の趣旨に沿った措置（規則第16条第1号関係）

法第28条第1項の「この節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置」に該当するものとして規則第16条第1号に「法第4章第2節の規定の趣旨に沿った措置」と規定されている。

「法第4章第2節の規定の趣旨に沿った措置」については、外国にある第三者により個人データが取り扱われる場合においても、我が国の個人情報取扱事業者により個人データが取り扱われる場合に相当する程度の本人の権利利益の保護を図るという観点に加え、経済協力開発機構（OECD）におけるプライバシーガイドラインやAPECにおけるプライバシーフレームワークといった国際的な枠組みの基準も踏まえた国際的な整合性も勘案する。

具体的には、「法第4章第2節の規定の趣旨に沿った措置」として4-2-1から4-2-20までに記述する事項について、適切かつ合理的な方法（4-1参照）に記述する方法によって担保されていなければならない（※1）。

個人情報取扱事業者は、契約等に4-2-1から4-2-20までに記述する全ての事項を規定しなければならないものではなく、「法第4章第2節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、外国にある第三者に提供された個人データに係る本人の権利利益の保護に必要な範囲で、「措置」の実施が確保されていれば足りる。

次の4-2-1から4-2-20までにおいては、外国にある第三者への個人データの提供に関する典型的な事例として、【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、及び【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合を挙げ、外国にある第三者又は提供元である日本にある個人情報取扱事業者（以下「外国にある第三者等」という。）が講ずべき措置の具体例を示すこととする。

（※1）「法第4章第2節の規定の趣旨に沿った措置」は、次の表に記載のとおりとなる（※2）（※3）。
法第4章第2節の規定の趣旨に沿った措置
第17条	利用目的の特定	第27条	第三者提供の制限
第18条	利用目的による制限	第28条	外国にある第三者への提供の制限
第19条	不適正な利用の禁止	第32条	保有個人データに関する事項の公表等
第20条	適正な取得	第33条	開示
第21条	取得に際しての利用目的の通知等	第34条	訂正等
第22条	データ内容の正確性の確保等	第35条	利用停止等
第23条	安全管理措置	第36条	理由の説明
第24条	従業者の監督	第37条	開示等の請求等に応じる手続
第25条	委託先の監督	第38条	手数料
第26条	漏えい等の報告等	第40条	個人情報取扱事業者による苦情の処理

（※2）要配慮個人情報の取得に関する規律（法第20条第2項）、オプトアウトによる個人データの第三者提供（法第27条第2項及び第3項）、第三者提供時の確認・記録義務（法第29条及び第30条）、個人関連情報の第三者提供に関する規律（法第31条）、並びに第三者提供記録の開示（法第33条第5項）及びそれに関連するその他の手続等（法第32条及び第36条から第38条までのうち、第三者提供記録の開示に関連する手続等）については、ここでいう「法第4章第2節の規定の趣旨に沿った措置」として外国にある第三者等が講ずべき措置には含まれない。
（※3）日本にある個人情報取扱事業者から個人データの提供を受けた外国にある第三者が法第171条の要件を満たし、域外適用の対象となる場合であっても、これにより直ちに規則第16条の基準を満たすこととなるわけではなく、同条の基準を満たすためには、別途、当該個人データの取扱いについて我が国の個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備することが必要である。
なお、この場合、当該外国にある第三者は、法第171条に基づき、「法第4章第2節の規定の趣旨に沿った措置」として講ずべき措置に含まれない規律（上記（※2）参照）も含め、法の規定に従って当該個人データを取り扱う義務を負うことになる。域外適用の詳細については、通則ガイドライン「8（域外適用）」を参照のこと。

4-2-1 利用目的の特定（法第17条の趣旨に沿った措置）

法第17条

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　委託契約において、外国にある事業者による利用目的を特定する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　就業規則等において利用目的を特定する。

外国にある第三者等は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が外国にある第三者等において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい（※1）（※2）。

（※1）「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。

例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、外国にある第三者等は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】

事例1）「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」

事例2）「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
（※2）委託契約や就業規則等の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される。なお、利用目的の特定に当たり「○○事業」のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。
また、単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される。

なお、特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内（※）で変更することは可能である。

（※）「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。

4-2-2 利用目的による制限（法第18条の趣旨に沿った措置）

法第18条

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
前二項の規定は、次に掲げる場合については、適用しない。
- 法令（条例を含む。以下この章において同じ。）に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的（以下この章において「学術研究目的」という。）で取り扱う必要があるとき（当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。
- 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　従業員情報を就業規則において特定された利用目的の範囲内で利用する。なお、利用目的の範囲を超える場合には、当該従業員の同意（※）を得る必要があるが、その場合、日本にある個人情報取扱事業者が同意を取得することも認められるものと解される。

外国にある第三者等は、特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意（※）を得なければならない。ただし、当該同意を得るために個人情報を利用すること（メールの送信や電話をかけること等）は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しない。

（※）「本人の同意」とは、本人の個人情報が、外国にある第三者等によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認できていることが前提となる。）。
　また、「本人の同意を得（る）」とは、本人の承諾する旨の意思表示を当該外国にある第三者等が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
　なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。

【本人の同意を得ている事例】: 事例1）本人からの同意する旨の口頭による意思表示; 事例2）本人からの同意する旨の書面（電磁的記録を含む。）の受領; 事例3）本人からの同意する旨のメールの受信; 事例4）本人による同意する旨の確認欄へのチェック; 事例5）本人による同意する旨のホームページ上のボタンのクリック; 事例6）本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

4-2-3 不適正な利用の禁止（法第19条の趣旨に沿った措置）

法第19条: 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 委託契約により外国にある事業者による違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を禁止する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 内規等により外国にある親会社による違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を禁止する。

外国にある第三者等は、違法又は不当な行為（※1）を助長し、又は誘発するおそれ（※2）がある方法により個人情報を利用してはならない。

（※1）「違法又は不当な行為」とは、法（個人情報の保護に関する法律）その他の法令に違反する行為、及び直ちに違法とはいえないものの、法（個人情報の保護に関する法律）その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。
（※2）「おそれ」の有無は、外国にある第三者等による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断される。

この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における外国にある第三者等の認識及び予見可能性も踏まえる必要がある。例えば、外国にある第三者等が他の事業者に個人情報を提供した場合において、当該他の事業者が当該個人情報を違法な行為に用いた場合であっても、当該他の事業者が当該個人情報の取得目的を偽っていた等、当該個人情報の提供の時点において、提供した個人情報が違法に利用されることについて、当該外国にある第三者等が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと解される。

4-2-4 適正な取得（法第20条の趣旨に沿った措置）

法第20条（第1項）

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

＜参考＞

法第20条（第2項）

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき（当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。
- 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき（当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。）。
- 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- その他前各号に掲げる場合に準ずるものとして政令で定める場合

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　外国にある親会社が内規等に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。

なお、要配慮個人情報に係る規制については、国によっていわゆるセンシティブ情報の対象は異なり得ることから（OECDプライバシーガイドラインの説明覚書（1980年））、国際的な整合性にも鑑みて、「措置」を講ずることは要しない（4-2（法第4章第2節の規定の趣旨に沿った措置）参照）。

4-2-5 取得に際しての利用目的の通知（法第21条の趣旨に沿った措置）

法第21条

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
前三項の規定は、次に掲げる場合については、適用しない。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　日本にある個人情報取扱事業者が従業員に対して利用目的の通知等をする。

外国にある第三者等は、個人情報を取得する場合は、あらかじめその利用目的を公表（※1）していることが望ましい。公表していない場合は、取得後速やかに、その利用目的を、本人に通知（※2）するか、又は公表しなければならない。

（※1）「公表」とは、広く一般に自己の意思を知らせること（不特定多数の人々が知ることができるように発表すること）をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。

【公表に該当する事例】: 事例1）自社のホームページのトップページから1回程度の操作で到達できる場所への掲載; 事例2）自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布; 事例3）（通信販売の場合）通信販売用のパンフレット・カタログ等への掲載

（※2）「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

【本人への通知に該当する事例】: 事例1）ちらし等の文書を直接渡すことにより知らせること。; 事例2）口頭又は自動応答装置等で知らせること。; 事例3）電子メール、FAX等により送信し、又は文書を郵便等で送付することにより知らせること。

そのほか、詳細については、通則ガイドライン3-3-3（利用目的の通知又は公表）から「3-3-5（利用目的の通知等をしなくてよい場合）」までを参照のこと。

4-2-6 データ内容の正確性の確保等（法第22条の趣旨に沿った措置）

法第22条: 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うこととする。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　日本にある個人情報取扱事業者を通じて従業員情報の正確性を確保する。

外国にある第三者等は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。

なお、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。

また、外国にある第三者等は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない（※）。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。

【個人データについて利用する必要がなくなったときに該当する事例】: 事例）キャンペーンの懸賞品送付のため、当該キャンペーンの応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合

（※）「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。

そのほか、詳細については、通則ガイドライン「3-4-1（データ内容の正確性の確保等）」を参照のこと。

4-2-7 安全管理措置（法第23条の趣旨に沿った措置）

法第23条: 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により外国にある親会社が安全管理措置を講ずる旨を規定する。

外国にある第三者等は、その取り扱う個人データの漏えい、滅失又は毀損（以下「漏えい等」という。）の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。具体的に講じなければならない措置や当該措置を実践するための手法の例等については、通則ガイドラインの「7（別添）講ずべき安全管理措置の内容」を参照のこと。

4-2-8 従業者の監督（法第24条の趣旨に沿った措置）

法第24条: 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　委託契約により外国にある事業者の従業者の監督に係る措置を規定する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により外国にある親会社の従業者の監督に係る措置を規定する。

外国にある第三者等は、その従業者に個人データを取り扱わせるに当たって、法第23条の趣旨に沿った安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい。

「従業者」とは、外国にある第三者等の組織内にあって直接間接に事業者の指揮監督を受けて当該者の業務に従事している者等をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。

【従業者に対して必要かつ適切な監督を行っていない事例】: 事例1）従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合; 事例2）内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合

4-2-9 委託先の監督（法第25条の趣旨に沿った措置）

法第25条: 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 内規等により外国にある親会社の再委託先の監督に係る措置を規定する。

外国にある第三者等は、個人データの取扱いの全部又は一部を委託（※1）する場合は、委託を受けた者（以下「委託先」という。）において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。具体的には、外国にある第三者等は、法第23条の趣旨に沿って自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする（※2）。

その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、次の（1）から（3）までに掲げる必要かつ適切な措置を講じなければならない（※3）。

（1）適切な委託先の選定: 委託先の選定に当たっては、委託先の安全管理措置が、少なくとも委託元に求められるものと同等であることを確認するため、通則ガイドラインの「10（別添）講ずべき安全管理措置の内容」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
（2）委託契約の締結: 委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
（3）委託先における個人データ取扱状況の把握: 委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
　また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条の趣旨に沿った安全管理措置を講ずることを十分に確認することが望ましい（※4）。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。

なお、再委託については、4-2-12 （外国にある第三者への提供の制限）も参照のこと。

【委託を受けた者に対して必要かつ適切な監督を行っていない事例】: 事例1）個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合; 事例2）個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合; 事例3）再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合; 事例4）契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合

（※1）ここでいう「個人データの取扱の委託」とは、契約の形態・種類を問わず、他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定される。
（※2）委託元が法第23条が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、法第23条が求める水準の安全管理措置を講じれば足りると解される。
（※3）委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法（口頭による確認を含む。）により確認することが考えられる。
（※4）委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。

4-2-10 漏えい等の報告等（法第26条の趣旨に沿った措置）

法第26条

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合

委託契約により、外国にある事業者において法第26条第1項に定める報告義務の対象となる個人データの漏えい、滅失又は毀損その他の個人データの安全の確保に係る事態（以下「報告対象事態」という。）が発生した場合に、日本にある個人情報取扱事業者が個人情報保護委員会への報告及び本人通知に係る措置を講ずることについて明確にする。

【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合

内規等により、外国にある親会社において報告対象事態が発生した場合に、日本にある個人情報取扱事業者が個人情報保護委員会への報告及び本人通知に係る措置を講ずることについて明確にする。

報告対象事態の詳細、及び報告対象事態が発生した場合に外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-5（個人データの漏えい等の報告等）」を参照のこと。

4-2-11 第三者提供の制限（法第27条の趣旨に沿った措置）

法第27条（第1項、第5項、第6項）

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。）。
- 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
個人情報取扱事業者は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

＜参考＞

法第27条（第2項・第3項）

個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）である場合は、この限りでない。
- 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第30条第1項第1号及び第32条第1項第1号において同じ。）の氏名
- 第三者への提供を利用目的とすること。
- 第三者に提供される個人データの項目
- 第三者に提供される個人データの取得の方法
- 第三者への提供の方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
- 本人の求めを受け付ける方法
- その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
個人情報取扱事業者は、前項第 1 号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第 3 号から第 5 号まで、第 7 号又は第 8 号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合

委託契約により外国にある事業者からの個人データの第三者提供を禁止する。

【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合

内規等により外国にある親会社からの個人データの第三者提供を禁止する。

「外国にある第三者」から、別の「第三者」に提供する際には、法第27条第1項、第5項、第6項の趣旨に沿った措置を講じなければならない。なお、提供先の第三者が「外国にある第三者」（提供元である外国にある第三者と同一の国内にある第三者を含む。）の場合は、4-2-12 外国にある第三者への提供の制限を参照のこと。

外国にある第三者等は、個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはならない。同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない（4-2-1（利用目的の特定）参照）。

なお、オプトアウトによる個人データの第三者提供（法第27条第2項及び第3項）は、個人情報保護委員会への届出等を定める規定であるため、その性質上、外国にある第三者等が講ずべき措置からは除外される（4-2（法第4章第2節の規定の趣旨に沿った措置）参照）。

4-2-12 外国にある第三者への提供の制限（法第28条の趣旨に沿った措置）

法第28条

個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下この条及び第31条第1項第2号において同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第3項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。）に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
個人情報取扱事業者は、個人データを外国にある第三者（第1項に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国にある事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法第25条の委託先の監督義務（4-2-9）のほか、法第4章第2節の規定の趣旨に沿った措置の実施を確保する。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により外国にある親会社からの個人データの第三者提供を禁止する。
　外国にある親会社から更に他の国にある子会社等に個人データを移転する場合にも、内規等により法第4章第2節の規定の趣旨に沿った措置の実施を確保する。

「外国にある第三者」から、別の「外国にある第三者」（提供元である外国にある第三者と同一の国内にある第三者を含む。）に提供する際には、「2．総論」の整理に沿って、対応をしなければならない。

4-2-13 保有個人データに関する事項の公表等（法第32条の趣旨に沿った措置）

法第32条

個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。
- 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。）
- 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。）
- 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- 第21条第4項第1号から第3号までに該当する場合
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合

提供する個人データが外国にある事業者にとって「保有個人データ」（※）に該当する場合には、委託契約により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。

なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合

内規等により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。

（※）「保有個人データ」とは、外国にある第三者等が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全て（以下「開示等」という。）に応じることができる権限を有する「個人データ」をいう。
　ただし、個人データのうち、次に掲げるものは、「保有個人データ」ではない。

（1）当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。: 事例）家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者（配偶者又は親権者）及び被害者（配偶者又は子）を本人とする個人データ
（2）当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。: 事例1）暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ; 事例2）不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ
（3）当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。: 事例1）製造業者、情報サービス事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計又は開発の担当者名が記録された、当該担当者を本人とする個人データ; 事例2）要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ
（4）当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。: 事例1）警察から捜査関係事項照会等がなされることにより初めて取得した個人データ; 事例2）警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ（※なお、当該契約者情報自体は「保有個人データ」に該当する。）; 事例3）犯罪による収益の移転防止に関する法律（平成19年法律第22号）第8条第1項に基づく疑わしい取引の届出の有無及び届出に際して新たに作成した個人データ; 事例4）振り込め詐欺に利用された口座に関する情報に含まれる個人データ

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-8-1（保有個人データに関する事項の公表等）」を参照のこと。

4-2-14 開示（法第33条の趣旨に沿った措置）

法第33条（第1項～第4項）

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。

＜参考＞

法第33条（第5項）

第1項から第3項までの規定は、当該本人が識別される個人データに係る第29条第1項及び第30条第3項の記録（その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第37条第2項において「第三者提供記録」という。）について準用する。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が開示に係る義務を履行することについて明確にする。
　なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により、日本にある個人情報取扱事業者が開示に係る義務を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-8-2（保有個人データの開示）」を参照のこと。

なお、第三者提供時の確認・記録義務については、「措置」を講ずることは要しないこととしていることから（4-2（法第4章第2節の規定の趣旨に沿った措置）参照）、第三者提供記録の開示についても、「措置」を講ずることは要しない（これに関連するその他の手続等（※）に関する「措置」も同様である。）。

（※）ここでいう「関連するその他の手続等」に関する「措置」とは、4-2-13（保有個人データに関する事項の公表等（法第32条の趣旨に沿った措置））、4-2-17（理由の説明（法第36条の趣旨に沿った措置））、4-2-18（開示等の請求等に応じる手続（法第37条の趣旨に沿った措置））及び4-2-19（手数料（法第38条の趣旨に沿った措置）のうち、第三者提供記録の開示に関連する手続等に関する措置をいい、外国にある第三者等は、これらの「措置」を講ずることは要しない。

4-2-15 訂正等（法第34条の趣旨に沿った措置）

法第34条

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」という。）を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が訂正等に係る義務を履行することについて明確にする。
　なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により、日本にある個人情報取扱事業者が訂正等に係る義務を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン3-8-4（保有個人データの訂正等）を参照のこと。

4-2-16 利用停止等（法第35条の趣旨に沿った措置）

法第35条

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第27条第1項又は第28条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
個人情報取扱事業者は、第1項若しくは第5項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項若しくは第5項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が利用停止等に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により、日本にある個人情報取扱事業者が利用停止等に係る義務を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-8-5（保有個人データの利用停止等）」を参照のこと。

4-2-17 理由の説明（法第36条の趣旨に沿った措置）

法第36条: 個人情報取扱事業者は、第32条第3項、第33条第3項（同条第5項において準用する場合を含む。）、第34条第3項又は前条第7項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が理由の説明に係る義務を履行することについて明確にする。
　なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により、日本にある個人情報取扱事業者が理由の説明に係る義務を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-8-6（理由の説明）」を参照のこと。

4-2-18 開示等の請求等に応じる手続（法第37条の趣旨に沿った措置）

法第37条

個人情報取扱事業者は、第32条第2項の規定による求め又は第33条第1項（同条第5項において準用する場合を含む。次条第1項及び第39条において同じ。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求（以下この条及び第54条第1項において「開示等の請求等」という。）に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合

提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本における個人情報取扱事業者が開示等の請求等に応じる手続を履行することについて明確にする。

【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合

内規等により、日本にある個人情報取扱事業者が開示等の請求等に応じる手続を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-8-7（開示等の請求等に応じる手続）」を参照のこと。

4-2-19 手数料（法第38条の趣旨に沿った措置）

法第38条

個人情報取扱事業者は、第32条第2項の規定による利用目的の通知を求められたとき又は第33条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合

提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が手数料に係る措置を履行することについて明確にする。

【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合

内規等により、日本にある個人情報取扱事業者が手数料に係る措置を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-8-8（手数料）」を参照のこと。

4-2-20 個人情報取扱事業者による苦情の処理（法第40条の趣旨に沿った措置）

法第40条

個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

【事例1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合: 　　　　提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が法第40条に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
【事例2】日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合: 　　　　内規等により、日本にある個人情報取扱事業者が法第40条に係る義務を履行することについて明確にする。

提供する個人データが外国にある第三者にとって「保有個人データ」に該当する場合、外国にある第三者等がとるべき措置の詳細については、通則ガイドライン「3-9（個人情報の取扱いに関する苦情処理について）」を参照のこと。

4-3個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること（規則第16条第2号関係）

「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要がある。

これには、提供先の外国にある第三者が、APECのCBPRシステムの認証を取得していることが該当する。なお、個人データを提供する者がCBPRの認証を取得している場合については、4-1（適切かつ合理的な方法）を参照のこと。

５同意取得時の情報提供

法第28条（第2項）

個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

規則第17条

法第28条第2項又は法第31条第1項第2号の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
- 当該外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 当該第三者が講ずる個人情報の保護のための措置に関する情報
前項の規定にかかわらず、個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、前項第1号に定める事項が特定できない場合には、同号及び同項第2号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
- 前項第1号に定める事項が特定できない旨及びその理由
- 前項第1号に定める事項に代わる本人に参考となるべき情報がある場合には、当該情報
第2項の規定にかかわらず、個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、第2項第3号に定める事項について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。

個人情報取扱事業者は、法第28条第1項の規定により外国にある第三者への個人データの提供を認める旨の本人の同意を取得しようとする場合には、規則第17条第2項から第4項までの規定により求められる情報を本人に提供しなければならない（法第28条第2項）（※1）（※2）。

個人データの越境移転に当たっては、提供元の個人情報取扱事業者において、提供先の第三者が所在する外国に個人データを移転することについてのリスクを評価し、個人データの移転の必要性について吟味した上で、本人に対しても、分かりやすい情報提供を行うことが重要である。

（※1）同意取得時の情報提供に関する法第24条第2項（現行法第28条第2項）の規定は、個人情報取扱事業者が令和2年改正法の施行日（令和 4 年 4 月 1 日）以後に法第24条第1項（現行法第28条第1項）の規定により本人の同意を得る場合について適用される（令和2年改正法附則第4条第1項）。
（※2）同意取得時の情報提供に関する法第28条第2項の規定は、別表第二法人等（2-1（外国にある第三者への個人データの提供を認める旨の本人の同意）参照）が令和3年改正法第 50 条の規定の施行日（令和 4 年 4 月 1 日）以後に法第28条第1項の規定により本人の同意を得る場合について適用される（令和3年改正法附則第7条第6項）。
（※3）同意取得時の情報提供に関する法第 28 条第 2 項の規定は、特定地方独立行政法人等（2-1（外国にある第三者への個人データの提供を認める旨の本人の同意）参照）が令和 3 年改正法第 51 条の規定の施行日（令和 5 年 4 月 1 日）以後に法第 28 条第 1 項の規定により本人の同意を得る場合について適用される（令和 3 年改正法附則第 9 条第 5 項）。

5-1情報提供の方法（規則第17条第1項関係）

規則第17条（第1項）

法第28条第2項又は法第31条第1項第2号の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。

本人に対する情報提供は、規則第17条第2項から第4項までの規定により求められる情報を本人が確実に認識できると考えられる適切な方法で行わなければならない。なお、提供する情報は本人にとって分かりやすいものであることが重要である。

【適切な方法に該当する事例】: 事例1）必要な情報を電子メールにより本人に送付する方法; 事例2）必要な情報を記載した書面を本人に直接交付する方法; 事例3）必要な情報を本人に口頭で説明する方法; 事例4）必要な情報をホームページに掲載し、本人に閲覧させる方法

5-2 提供すべき情報（規則第17条第2項関係）

規則第17条（第2項）

法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
- 当該外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 当該第三者が講ずる個人情報の保護のための措置に関する情報

法第28条第1項の規定により外国にある第三者への個人データの提供を認める旨の本人の同意を取得しようとする場合には、本人に対し、次の(1)から(3)までの情報を提供しなければならない。

「当該外国の名称」（規則第17条第2項第1号関係）
提供先の第三者が所在する外国（※1）の名称をいう（※2）。必ずしも正式名称を求めるものではないが、本人が自己の個人データの移転先を合理的に認識できると考えられる名称でなければならない。

外国にある第三者への個人データの提供を認める旨の本人の同意を取得する際に、提供先の第三者が所在する外国を特定できない場合の取扱いについては、5-3-1（提供先の第三者が所在する外国が特定できない場合）を参照のこと。
- （※1）「外国」とは、本邦の域外にある国又は地域をいい、我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるものを除く（法第28条第1項）。
- （※2）ここでいう「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められない。もっとも、個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨を踏まえると、例えば、州法が主要な規律となっている等、州法に関する情報提供が本人の予測可能性の向上に資する場合には、本人に対して、提供先の外国にある第三者が所在する州を示した上で、州単位での制度についても情報提供を行うことが望ましい。
「適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報」（規則第17条第2項第2号関係）
- ①「適切かつ合理的な方法」
  「当該外国における個人情報の保護に関する制度に関する情報」は、一般的な注意力をもって適切かつ合理的な方法により確認したものでなければならない。
  
  【適切かつ合理的な方法に該当する事例】
  
  事例1）提供先の外国にある第三者に対して照会する方法
  
  事例2）我が国又は外国の行政機関等が公表している情報を確認する方法
- ②「当該外国における個人情報の保護に関する制度に関する情報」
  個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨に鑑み、「当該外国における個人情報の保護に関する制度に関する情報」は、提供先の第三者が所在する外国における個人情報の保護に関する制度と我が国の法（個人情報の保護に関する法律）との間の本質的な差異を本人が合理的に認識できる情報でなければならず、具体的には、次の（ア）から（エ）までの観点を踏まえる必要がある。
  
  なお、ここでいう「当該外国における個人情報の保護に関する制度」は、当該外国における制度のうち、提供先の外国にある第三者に適用される制度に限られ、当該第三者に適用されない制度は含まれない。
  - （ア）当該外国における個人情報の保護に関する制度の有無
    提供先の第三者が所在する外国における制度に、当該第三者に適用される個人情報の保護に関する制度が存在しない場合、そのこと自体が個人データの越境移転に伴うリスクの存在を示すものであることから、個人情報の保護に関する制度が存在しない旨を本人に対して情報提供しなければならない（※1）。
  - （イ）当該外国の個人情報の保護に関する制度についての指標となり得る情報の存在
    提供先の第三者が所在する外国の個人情報の保護に関する制度について、個人情報の保護の水準等に関する客観的な指標となり得る情報が存在する場合、当該指標となる情報が提供されることにより、個人データの越境移転に伴うリスクについての本人の予測可能性は一定程度担保されると考えられる。したがって、この場合には、当該指標となり得る情報を提供すれば足り、次の（ウ）に係る情報の提供は求められない。
    
    なお、当該指標となり得る情報の提供を行う場合、当該指標となり得る情報が個人データの越境移転に伴うリスクとの関係でどのような意味を持つかについても、本人に対して情報提供を行うことが望ましい。
    
    【当該外国の個人情報の保護に関する制度についての指標となり得る情報に該当する事例】
    
    事例1）当該第三者が所在する外国がGDPR第45条に基づく十分性認定の取得国であること
    
    事例2）当該第三者が所在する外国がAPECのCBPRシステムの加盟国であること
  - （ウ）OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
    提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECDプライバシーガイドライン8原則（※2）に対応する事業者の義務又は本人の権利が存在しない場合には、当該事業者の義務又は本人の権利の不存在は、我が国の法（個人情報の保護に関する法律）との本質的な差異を示すものであることから、その内容について本人に情報提供しなければならない。
    
    なお、提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECDプライバシーガイドライン8原則に対応する事業者の義務及び本人の権利が全て含まれる場合には、その旨を本人に情報提供すれば足りる。
    
    【OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在に該当する事例】
    
    事例1）個人情報について原則としてあらかじめ特定した利用目的の範囲内で利用しなければならない旨の制限の不存在
    
    事例2）事業者が保有する個人情報の開示の請求に関する本人の権利の不存在
  - （エ）その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
    提供先の第三者が所在する外国において、我が国の制度と比較して、当該外国への個人データの越境移転に伴い当該個人データに係る本人の権利利益に重大な影響を及ぼす可能性のある制度が存在する場合には、当該制度の存在について本人に情報提供しなければならない。
    【本人の権利利益に重大な影響を及ぼす可能性のある制度に該当する事例】
    
    事例1）事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
    事例2）事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度
    
    （※1）提供先の第三者が所在する外国において、個人情報の保護に関する制度が存在する場合には、当該制度に係る法令の個別の名称を本人に情報提供することは求められないが、本人の求めがあった場合に情報提供できるようにしておくことが望ましい。
    
    （※2）OECDプライバシーガイドラインは、①収集制限の原則（Collection Limitation Principle）、②データ内容の原則（Data Quality Principle）、③目的明確化の原則（Purpose Specification Principle）、④利用制限の原則（Use Limitation Principle）、⑤安全保護措置の原則（Security Safeguards Principle）、⑥公開の原則（Openness Principle）、⑦個人参加の原則（Individual Participation Principle）、⑧責任の原則（Accountability Principle）の8原則を、基本原則として定めている。
「当該第三者が講ずる個人情報の保護のための措置に関する情報」
（規則第17条第2項第3号関係）個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨に鑑み、「当該第三者が講ずる個人情報の保護のための措置に関する情報」は、当該外国にある第三者が講ずる個人情報の保護のための措置と我が国の法（個人情報の保護に関する法律により個人データの取扱いについて個人情報取扱事業者に求められる措置との間の本質的な差異を本人が合理的に認識できる情報でなければならない。

具体的には、当該外国にある第三者において、OECDプライバシーガイドライン8原則に対応する措置（本人の権利に基づく請求への対応に関する措置を含む。）を講じていない場合には、当該講じていない措置の内容について、本人が合理的に認識できる情報が提供されなければならない。

なお、提供先の外国にある第三者が、OECDプライバシーガイドライン8原則に対応する措置を全て講じている場合には、その旨を本人に情報提供すれば足りる。

外国にある第三者への個人データの提供を認める旨の本人の同意を取得する際に、提供先の外国にある第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合の取扱いについては、5-3-2（提供先の第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合）を参照のこと。

【提供先の第三者が講ずる個人情報の保護のための措置に関する情報の提供に該当する事例（提供先の第三者が利用目的の通知・公表を行っていない場合）】

事例）「提供先が、概ね個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じているものの、取得した個人情報についての利用目的の通知・公表を行っていない」旨の情報提供を行うこと

5-3 同意取得時に移転先が特定できない場合等の取扱い（規則第17条第3項・第4項関係）

5-3-1 提供先の第三者が所在する外国が特定できない場合（規則第17条第3項関係）

規則第17条（第3項）

前項の規定にかかわらず、個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、前項第1号に定める事項が特定できない場合には、同号及び同項第2号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
- 前項第1号に定める事項が特定できない旨及びその理由
- 前項第1号に定める事項に代わる本人に参考となるべき情報がある場合には、当該情報

個人情報取扱事業者は、法第28条第1項の規定により外国にある第三者への個人データの提供を認める旨の本人の同意を取得しようとする時点において、提供先の第三者が所在する外国を特定できない場合には、当該外国の名称及び当該外国の個人情報の保護に関する制度に関する情報に代えて、次の1及び2の情報を本人に提供しなければならない。

なお、事後的に提供先の第三者が所在する外国が特定できた場合には、本人の求めに応じて情報提供を行うことが望ましい。

【提供先の第三者が所在する外国を特定できない場合に該当する事例】: 事例1）日本にある製薬会社が医薬品等の研究開発を行う場合において、治験責任医師等が被験者への説明及び同意取得を行う時点では、最終的にどの国の審査当局等に承認申請するかが未確定であり、当該被験者の個人データを移転する外国を特定できない場合; 事例2）日本にある保険会社が保険引受リスクの分散等の観点から外国の再保険会社に再保険を行う場合において、日本にある保険会社による顧客からの保険引受及び同意取得の時点では、最終的にどの再保険会社に再保険を行うかが未確定であり、当該顧客の個人データを移転する外国を特定できない場合

特定できない旨及びその理由（規則第17条第3項第1号関係）
個人情報取扱事業者は、提供先の第三者が所在する外国を特定できない場合であっても、個人データの越境移転に伴うリスクに関する本人の予測可能性の向上という趣旨を踏まえ、提供先の第三者が所在する外国を特定できない旨及びその理由を情報提供しなければならない。

なお、情報提供に際しては、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましい。
提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報（規則第17条第3項第2号関係）
提供先の第三者が所在する外国が特定できないとしても、提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報についても本人に提供しなければならない。

「提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報」の該当性は、本人への情報提供が求められる制度趣旨を踏まえつつ、個別に判断する必要があるが、例えば、移転先の外国の範囲が具体的に定まっている場合における当該範囲に関する情報は、ここでいう「提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報」に該当する。

【提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報に該当する事例】

事例）本人の同意を得ようとする時点において、移転先となる外国の候補が具体的に定まっている場合における当該候補となる外国の名称

5-3-2 提供先の第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合（規則第17条第4項関係）

規則第17条（第4項）

第2項の規定にかかわらず、個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、第2項第3号に定める事項について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。

個人情報取扱事業者は、法第28条第1項の規定により外国にある第三者への個人データの提供を認める旨の本人の同意を取得しようとする時点において、提供先の外国にある第三者が講ずる個人情報の保護のための措置に関する情報の提供ができない場合には、当該情報に代えて、当該情報を提供できない旨及びその理由について情報提供しなければならない。

なお、情報提供に際しては、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましい。

また、事後的に当該第三者が講ずる個人情報の保護のための措置についての情報提供が可能となった場合には、本人の求めに応じて情報提供を行うことが望ましい。

【提供先の第三者が講ずる個人情報の保護のための措置に関する情報の提供ができない場合に該当する事例】: 事例1）日本にある製薬会社が医薬品等の研究開発を行う場合において、治験責任医師等が被験者への説明及び同意取得を行う時点では、最終的にどの国の審査当局等に承認申請するかが未確定であり、当該被験者の個人データの提供先を特定できない場合; 事例2）日本にある保険会社が保険引受リスクの分散等の観点から外国の再保険会社に再保険を行う場合において、日本にある保険会社による顧客からの保険引受及び同意取得の時点では、最終的にどの再保険会社に再保険を行うかが未確定であり、当該顧客の個人データの提供先を特定できない場合

６個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している者に個人データを提供した場合に講ずべき措置等

法第28条（第3項）

個人情報取扱事業者は、個人データを外国にある第三者（第1項に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

規則第18条

法第28条第3項（法第31条第2項において読み替えて準用する場合を含む。）の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
- 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
- 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ（法第31条第2項において読み替えて準用する場合にあっては、個人関連情報）の当該第三者への提供を停止すること。
法第28条第3項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
個人情報取扱事業者は、法第28条第3項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
- 当該第三者による法第28条第1項に規定する体制の整備の方法
- 当該第三者が実施する相当措置の概要
- 第1項第1号の規定による確認の頻度及び方法
- 当該外国の名称
- 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
- 当該第三者による相当措置の実施に関する支障の有無及びその概要
- 前号の支障に関して第1項第2号の規定により当該個人情報取扱事業者が講ずる措置の概要
個人情報取扱事業者は、法第28条第3項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
個人情報取扱事業者は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

個人情報取扱事業者は、規則第16条に定める基準に適合する体制（以下「基準適合体制」という。）を整備している外国にある第三者に対して個人データを提供した場合には、当該第三者による相当措置（個人データの取扱いについて法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置をいう。以下同じ。）の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない（法第28条第3項）（※1）（※2）。

法第28条第3項は、提供先が基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した場合、個人情報取扱事業者には、その後も当該第三者による当該個人データの適正な取扱いを継続的に確保する責務があることを明確化するものである。そのため、個人情報取扱事業者は、当該第三者において当該個人データの取扱いが継続する限り、法第28条第3項に基づく措置等を講ずる必要がある。

ただし、上記の制度趣旨に鑑み、例えば、個人情報取扱事業者が、本人の同意を根拠として外国にある第三者に個人データを提供した場合には、当該第三者が基準適合体制を整備していると認められる場合であっても、法第28条第3項に基づく措置等は求められない。

（※1）法第24条第3項（現行法第28条第3項）の規定は、個人情報取扱事業者が令和2年改正法の施行日（令和 4 年 4 月 1日）以後に同項に規定する外国にある第三者に個人データを提供した場合について適用される（令和2年改正法附則第4条第2項）。
（※2）法第28条第3項の規定は、別表第二法人等（2-1（外国にある第三者への個人データの提供を認める旨の本人の同意）参照）が令和3年改正法の第 50 条の規定の施行日（令和 4 年 4 月 1 日）以後に同項に規定する外国にある第三者に個人データを提供した場合について適用される（令和3年改正法附則第7条第7項）。
（※3）法第 28 条第 3 項の規定は、特定地方独立行政法人等（2-1（外国にある第三者への個人データの提供を認める旨の本人の同意）参照）が令和 3 年改正法第 51 条の規定の施行日（令和 5年 4 月 1 日）以後に同項に規定する外国にある第三者に個人データを提供した場合について適用される（令和 3 年改正法附則第 9 条第 6 項）。

6-1 相当措置の継続的な実施を確保するために必要な措置（規則第18条第1項関係）

規則第18条（第1項）

法第28条第3項（法第31条第2項において読み替えて準用する場合を含む。）の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
- 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
- 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ（法第31条第2項において読み替えて準用する場合にあっては、個人関連情報）の当該第三者への提供を停止すること。

個人情報取扱事業者は、提供先が基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した場合、当該第三者による相当措置の継続的な実施を確保するために必要な措置として、次の（1）及び（2）の措置を講じなければならない。

当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること（規則第18条第1項第1号関係）
個人情報取扱事業者は、個人データの提供先である外国にある第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及び内容を、適切かつ合理的な方法により、定期的に確認しなければならない。

ここでいう「定期的に確認」とは、年に1回程度又はそれ以上の頻度で確認することをいう。

相当措置の実施状況は、外国にある第三者に提供する個人データの内容や規模に応じて、適切かつ合理的な方法により確認する必要があるが、例えば、個人データを取り扱う場所に赴く方法、書面により報告を受ける方法又はこれらに代わる合理的な方法（口頭による確認を含む。）により確認することが考えられる（※）。

【相当措置の実施状況の確認に該当する事例】

事例1）外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合は、当該契約の履行状況を確認すること

事例2）同一の企業グループ内で個人データを移転する場合において、提供元及び提供先に共通して適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整備している場合は、当該プライバシーポリシーの履行状況を確認すること

また、外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及び内容は、一般的な注意力をもって適切かつ合理的な方法により確認する必要があるが、例えば、当該第三者に対して照会する方法や、我が国又は外国の行政機関等が公表している情報を確認する方法が考えられる。

【相当措置の実施に影響を及ぼすおそれのある外国の制度に該当する事例】

事例1）事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度

事例2）事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度
（※）提供先である外国にある第三者において相当措置を実施すべき対象は、個人情報取扱事業者が実際に提供を行った「個人データ」であることから、相当措置の実施状況の確認においても、提供先で取り扱っている他の個人情報の取扱いについてまで確認することが求められているものではない。
当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること（規則第18条第1項第2号関係）

個人情報取扱事業者は、個人データの提供先である外国にある第三者による相当措置の実施に支障が生じたときは、当該支障の解消又は改善のために必要かつ適切な措置を講じなければならない。

【支障発生時の必要かつ適切な措置に該当する事例】: 事例）日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請すること
また、外国にある第三者による相当措置の継続的な実施の確保が困難となった場合、当該第三者は、実質的に、基準適合体制を整備しているとはいえないと考えられることから、それ以降、当該第三者への個人データの提供を停止しなければならない。
【相当措置の継続的な実施の確保が困難となった場合に該当する事例】: 事例1）日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請したにもかかわらず、当該提供先が合理的な期間内にこれを是正しない場合; 事例2）外国にある事業者において日本にある個人情報取扱事業者から提供を受けた個人データに係る重大な漏えい等が発生した後、同様の漏えい等の発生を防止するための必要かつ適切な再発防止策が講じられていない場合

6-2 相当措置の継続的な実施を確保するために必要な措置に関する情報提供（規則第18条第2項・第3項関係）

6-2-1 情報提供の方法（規則第18条第2項関係）

規則第18条（第2項）

法第28条第3項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。

本人に対する情報提供は、規則第18条第3項の規定により本人への提供が求められる情報を本人が確実に認識できると考えられる適切な方法で行う必要がある。なお、提供する情報は本人にとって分かりやすいものであることが重要である。

【適切な方法に該当する事例】: 事例1）必要な情報を電子メールにより本人に送付する方法; 事例2）必要な情報を記載した書面を本人に直接交付する方法; 事例3）必要な情報を本人に口頭で説明する方法; 事例4）必要な情報をホームページに掲載し、本人に閲覧させる方法

6-2-2 提供すべき情報（規則第18条第3項関係）

規則第18条（第3項）

個人情報取扱事業者は、法第28条第3項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
- 当該第三者による法第28条第1項に規定する体制の整備の方法
- 当該第三者が実施する相当措置の概要
- 第1項第1号の規定による確認の頻度及び方法
- 当該外国の名称
- 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
- 当該第三者による相当措置の実施に関する支障の有無及びその概要
- 前号の支障に関して第1項第2号の規定により当該個人情報取扱事業者が講ずる措置の概要

個人情報取扱事業者は、法第28条第3項の規定による本人の求めを受けた場合には、遅滞なく、次の（1）から（7）までの情報を本人に提供しなければならない。

ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。

【情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当する事例】: 事例）同一の本人から複雑な対応を要する同一内容について繰り返し情報提供の求めがあり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合

「当該第三者による法第28条第1項に規定する体制の整備の方法」（規則第18条第3項第1号関係）
個人データの提供先である外国にある第三者が基準適合体制を整備する方法について情報提供しなければならない。

【基準適合体制を整備する方法についての情報提供に該当する事例】

日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合

事例）「提供先との契約」である旨の情報提供を行うこと
「当該第三者が実施する相当措置の概要」（規則第18条第3項第2号関係）
個人データの提供先である外国にある第三者が実施する相当措置の概要について情報提供しなければならない。提供すべき情報は、個々の事例ごとに判断されるべきであるが、当該外国にある第三者において、法第4章第2節の規定の趣旨に沿った措置がどのように確保されているかが分かるような情報を提供する必要がある。

なお、個人情報取扱事業者が当該外国にある第三者との間で締結している契約等の全ての規定の概要についての情報提供を求めるものではない。

【相当措置の概要についての情報提供に該当する事例】

日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合

事例）「契約において、特定した利用目的の範囲内で個人データを取り扱う旨、不適正利用の禁止、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託の禁止、漏えい等が発生した場合には提供元が個人情報保護委員会への報告及び本人通知を行う旨、個人データの第三者提供の禁止等を定めている」旨の情報提供を行うこと
「第1項第1号の規定による確認の頻度及び方法」（規則第18条第3項第3号関係）
個人データの提供先である外国にある第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある制度の有無及びその内容の確認に関して、その方法及び頻度について情報提供しなければならない。

なお、外国にある第三者による相当措置の実施状況の確認の方法及び頻度と、当該相当措置の実施に影響を及ぼすおそれのある制度の有無及びその内容の確認の方法及び頻度が異なる場合には、それぞれについて情報提供する必要がある。
【確認の方法及び頻度についての情報提供に該当する事例】
- 事例）
  
  ①外国にある第三者による相当措置の実施状況についての確認の方法及び頻度
  
  「毎年、書面による報告を受ける形で確認している」旨の情報提供を行うこと
  
  ②当該相当措置の実施に影響を及ぼすおそれのある制度の有無及びその内容の確認の方法及び頻度
  
  「毎年、我が国の行政機関等が公表している情報を確認している」旨の情報提供を行うこと
「当該外国の名称」（規則第18条第3項第4号関係）
個人データの提供先の第三者が所在する外国（※1）の名称について情報提供しなければならない（※2）。必ずしも正式名称を求めるものではないが、本人が自己の個人データの移転先を合理的に認識できると考えられる形で情報提供を行う必要がある。
- （※1）「外国」とは、本邦の域外にある国又は地域をいい、我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるものを除く（法第28条第1項）。
- （※2）ここでいう「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められない。もっとも、本人が外国にある第三者における自己の個人データの取扱状況等について把握できるようにするという制度趣旨を踏まえると、例えば、州法において外国にある第三者による相当措置の実施に影響を及ぼすおそれのある制度が存在する等、州法に関する情報提供が本人による当該第三者における個人データの取扱状況等の把握に資する場合には、当該第三者が所在する州を示した上で、当該制度についても情報提供を行うことが望ましい。
「当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要」（規則第18条第3項第5号関係）
個人データの提供先である外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要について情報提供しなければならない。
【相当措置の実施に影響を及ぼすおそれのある外国の制度の概要についての情報提供に該当する事例】
- 事例1）「事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度が存在する」旨の情報提供を行うこと
- 事例2）「事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度が存在する」旨の情報提供を行うこと
「当該第三者による相当措置の実施に関する支障の有無及びその概要」（規則第18条第3項第6号関係）
個人データの提供先である外国にある第三者による相当措置の実施に関する支障の有無及びその概要について情報提供しなければならない。
【相当措置の実施に関する支障の概要についての情報提供に該当する事例】
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備しているものの、当該提供先が当該契約において特定された利用目的の範囲を超えて、当該個人データを取り扱っていた場合
- 事例）「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていた」旨の情報提供を行うこと
「前号の支障に関して第1項第2号の規定により当該個人情報取扱事業者が講ずる措置の概要」（規則第18条第3項第7号関係）
個人データの提供先である外国にある第三者による相当措置の実施に支障が生じた場合において、当該支障の解消・改善のために提供元の個人情報取扱事業者が講ずる措置の概要について情報提供しなければならない。
【相当措置の実施に関する支障に関して個人情報取扱事業者が講ずる措置の概要についての情報提供に該当する事例】
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備しているものの、当該提供先が当該契約において特定された利用目的の範囲を超えて、当該個人データを取り扱っていた場合
- 事例1）「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請した」旨の情報提供を行うこと
- 事例2）「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請したものの、これが合理的期間内に是正されず、相当措置の継続的な実施の確保が困難であるため、〇年〇月〇日以降、個人データの提供を停止した上で、既に提供した個人データについて削除を求めている」旨の情報提供を行うこと

6-2-3 情報提供しない旨の決定を行った際の通知等（規則第18条第4項・第5項関係）

規則第18条（第4項・第5項）

個人情報取扱事業者は、法第28条第3項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
個人情報取扱事業者は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

個人情報取扱事業者は、法第28条第3項の規定による本人の求めに係る情報の全部又は一部について情報提供しない旨の決定をしたときは、遅滞なく、その旨を本人に通知（※）しなければならない。

この場合、個人情報取扱事業者は、本人に対し、情報提供をしない理由を説明するよう努めなければならない。

（※）「本人に通知」については、通則ガイドライン「2-14（本人に通知）」を参照のこと。

【付録】

○衆議院内閣委員会における附帯決議（平成27年5月20日）: 1～2　（略）; 3　国境を越えた個人情報の移転は、合理的で安全なサービスの提供を可能にし、社会に裨益するものであることを踏まえ、海外における個人情報の保護を図りつつ、国境を越えた個人情報の移転を不当に阻害しないよう必要な措置を講ずること。
（以下省略）
○参議院内閣委員会における附帯決議（平成27年8月27日）: 1～2　（略）; 3　国境を越えた個人情報の移転は、合理的で安全なサービスの提供を可能にし、社会に役立つものであることを踏まえ、海外における個人情報の保護を図りつつ、個人情報の移転を不当に阻害しないよう必要な措置を講ずること。
（以下省略）

目次