• Home
  • 個人情報保護法上の「外国にある第三者」への提供

個人情報保護法上の「外国にある第三者」への提供

「外国にある第三者」への個人情報の提供

個人情報保護法(*1)は、「外国にある第三者」に個人データを提供する場合につき、国内の第三者に対して個人データを提供するのとは異なる規制を設けています。これは国境を超える情報流通に対応したものですが、一方で、情報利用を不当に制限しないため、一定の例外を設けています。

 

*1 ここでの個人情報保護法は、改正個人情報保護法(平成29年5月30日施行)を指します。

外国にある第三者への提供についての規定

個人情報保護法第24条は、外国にある第三者に対する個人データの提供について、以下のように定めています。

法第 24 条

個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個

人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護

に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。

以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定

により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的

に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体

制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合

には、前条第 1 項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提

供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定

は、適用しない。

カッコ書きが多くやや複雑な規定となっていますが、骨組みだけを取り出すと以下のようになります。

①外国(*2)にある第三者に対し

②個人データを提供する場合には、

③23条1項各号に掲げる場合を除くほか

④あらかじめ外国にある第三者への提供についての本人の同意を得なければならない。

23条1項は、法令に基づく場合のほか、人の生命、身体又は財産の保護のために必要があって本人の同意を得ることが困難である場合など例外的な場合を定めているものですから、外国にある第三者に対する個人データの提供をするためには、基本的には本人の同意を得なければならないことになりそうです。しかしそれでは業務の円滑な遂行が妨げられるとして、ガイドラインで、本人の同意が不要となる場合が定められています。

外国にある第三者への提供でない場合

外国にある第三者への提供でない場合については、以下のように整理できます。

ⅰ.「第三者」提供ではない場合

ex.)日本企業の、外国における現地事業所、支店に個人データを提供する場合等

⇒上記にあたる場合は、同一法人内での個人データのやり取りに過ぎないため、第三者提供にあたらないものとされています。一方、現地子会社に個人データを提供する場合は、別法人に個人データを提供する者であるため、「第三者」提供にあたるものとされています。

ⅱ.「外国にある」第三者への提供でない場合

ex.)外国法人のうち、「個人情報取扱事業者」(*3)である法人に個人データを提供する場合等

⇒上記にあたる場合は、個人情報保護法の規定が直接適用されるため、外国にある第三者への提供でなく、通常の第三者提供になります。例えば、外国法人が日本国内に事務所を設置し、個人データベースを事業の用に供している場合、当該法人は「個人情報取扱事業者」に

あたるため、「外国にある」第三者にはあたらないことになります。

外国にある第三者への提供にあたるが、例外として提供が許容される場合

上記とは異なり、外国にある第三者にあたるものであるけれども、例外として第三者提供が許容されている場合があります。具体的には、個人情報保護法24条の「第三者」の後の括弧内にあたる場合がこれにあたります。これには、個人情報保護法施行規則11条1項にあたる場合と、同2項にあたる場合があります。

-1.個人情報保護法施行規則11条1項にあたる場合

ex.)外国にある事業者と個人情報保護法第4章1節(15条ないし35条)にあたる措置について定めた契約書等を交わした上で、同各条に従い個人データを提供する場合、同一グループ企業内で個人情報保護法第4章1節(15条ないし35条)にあたる措置について定めた内規等を用意した上で、同各条に従い個人データを移転する場合、提供元の事業者がアジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システムの認証を取得し、かつ提供先が、提供元事業者に代わって個人情報を取り扱う者にあたる場合に、上記各条に従って個人データを提供する場合等

⇒上記のような場合には、24条のいう規則である個人情報保護法施行規則11条1項の「適切かつ合理的な方法」により「個人情報保護法第4章1節の規定の趣旨に沿った措置」を取ったと言えるため、外国にある「第三者」への提供ではないことになります。

-2.個人情報保護法施行規則11条2項にあたる場合

ex.)個人データの提供先がAPECのCBPRシステムの認証を取得している場合等

⇒上記場合には、当該認証システムによって個人データの安全な提供先であることが担保されるため、外国にある「第三者」への提供ではないことになります。

 

*2 「外国」についても法律上は例外が想定されているのですが、現在(平成29年5月22日)、規則上定められている国はないため、ここでは特に触れていません。

*3 個人情報保護法2条5項。個人情報保護法上の義務の主体となる者です。

おわりに

外国にある第三者への提供については、通常の第三者提供と異なり、オプトアウトによる第三者提供などの方法が定められておらず、原則本人の同意が必要となることになります。上記例外にあたるか否かによって事業者の取るべき対処法が大きく変わってくるため、予定している個人情報の提供が本人の同意取得が必要なものであるのか、しっかり検討することが必要です。