はじめに
グローバル化やデジタル化の進展により、個人データの越境移転は企業活動や行政実務において日常的なものとなっています。日本の個人情報保護法は、個人データが「外国にある第三者」に提供される場合、原則として本人の同意を求めるなど、国内提供よりも厳格な規律を設けています。本コラムでは、「外国にある第三者」の該当性と本人同意の要否について、法令・ガイドライン等をもとに詳しく解説します。
「外国にある第三者」とは何か
「外国にある第三者」とは、個人データを提供する個人情報取扱事業者および当該個人データの本人以外の者であって、外国に所在する者を指します。ここでいう「第三者」には、法人・団体・外国政府等も含まれます。
法人の場合、提供元と別の法人格を有するかどうかが「第三者」該当性の判断基準となります。たとえば、日本企業が外国の現地子会社(別法人格)に個人データを提供する場合は「外国にある第三者」に該当しますが、同一法人内(日本本社と海外支店など)でのデータ移転は該当しません。
また、外国法人であっても日本国内に事務所を設置している場合や、日本国内で「個人情報データベース等」を事業の用に供していると認められる場合は、「外国にある第三者」には該当せず、国内事業者と同様の扱いとなります。
「外国にある第三者」への該当性の具体例
・日本企業が外国の法人格を持つ現地子会社や関連会社に個人データを提供する場合
・外資系企業の日本法人が、外国にある親会社に個人データを提供する場合
・クラウドサービス利用時、サーバが外国に設置されており、その運営主体が別法人である場合
一方、以下のような場合は「外国にある第三者」には該当しません。
・日本企業の海外支店や現地事務所(同一法人格内)へのデータ移転
・外国法人であっても、日本国内で事業活動を行い「個人情報取扱事業者」に該当する場合
本人同意の要否とその例外
原則として、個人情報取扱事業者が「外国にある第三者」に個人データを提供する場合、あらかじめ本人の同意を得る必要があります。
この「本人の同意」とは、本人が自らの個人データが外国にある第三者に提供されることを承諾する意思表示をいいます。
ただし、以下の例外に該当する場合は本人同意が不要です。
・当該第三者が日本と同等の水準にあると認められる個人情報保護制度を有する国に所在する場合(個人情報保護委員会規則で定める国。例:EU、英国等)
・当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している場合(いわゆる「相当措置体制整備者」)
・法令に基づく場合や、委託・共同利用等、国内第三者提供と同様の例外事由に該当する場合
本人同意取得時の情報提供義務
本人同意を得る際には、以下の情報を本人に提供しなければなりません。
・当該外国の名称
・適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
・当該第三者が講ずる個人情報の保護のための措置に関する情報
これらの情報提供は、本人が同意に係る判断を行うために必要な合理的かつ適切な方法で行う必要があります。
なお、例外事由(同等水準国・相当措置体制整備者等)に該当する場合は、これらの情報提供義務も免除されます。
例外事由の詳細
「日本と同等の水準にあると認められる個人情報保護制度を有する国」とは、個人情報保護委員会規則で定められた国を指し、現時点ではEUや英国等が該当します。
「相当措置体制整備者」とは、個人情報取扱事業者と提供先との間で、当該提供先における個人データの取扱いについて、適切かつ合理的な方法により日本の法令と同等の措置の実施が確保されている場合や、国際的な枠組みに基づく認定を受けている場合を指します。
これらの例外に該当する場合、国内第三者提供と同様の規律が適用され、本人同意や追加的な情報提供義務は不要となります。
実務上の留意点と課題
クラウドサービス利用時、サーバの設置場所や運営主体の法人格により「外国にある第三者」該当性が変わるため、契約内容や運用実態の確認が不可欠です。
グループ企業間であっても法人格が異なれば「第三者」となり、本人同意や例外事由の有無を慎重に判断する必要があります。
委託や共同利用の場合は、国内第三者提供と同様の例外規定が適用されることがありますが、委託先が外国にある場合は、原則として本人同意が必要となる点に注意が必要です。
再提供(転々流通)については、原則として一次提供先の法令遵守が問題となりますが、当初から再提供が予定されている場合は、再提供先への同意取得が求められる場合もあります。
本人同意の具体的な内容と方法
本人同意は、本人が自らの個人データが外国にある第三者に提供されることを明確に認識し、承諾する意思表示でなければなりません。
同意取得の方法は、事業の性質や個人情報の取扱状況に応じて、合理的かつ適切な方法で行う必要があります。
オプトアウトによる第三者提供は、外国にある第三者への提供には認められていません。
おわりに
「外国にある第三者」への個人データ提供は、本人の権利利益保護の観点から厳格な規律が設けられています。該当性の判断や本人同意の要否、例外事由の適用、同意取得時の情報提供義務など、実務上は多くの論点が存在します。各ケースで法令・ガイドラインを踏まえ、慎重な運用が求められます。
