*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています(2022年5月16日追記)。
はじめに
個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、これについての本人の同意を得なければなりません(法28条1項)。
そして、国内の場合とは異なり、業務委託先も外国にある「第三者」に含まれます(同項後段)。
他方で、多くの企業は、AWSなどのクラウドサービス(サーバー)へデータを保存しています。
それでは、海外のクラウドサービスへ個人データを保存するには、本人から同意を得ている必要があるのでしょうか?
外国法人が個人データを取り扱うこと
まず、外国法人のサーバーへ個人データを保存する場合でも、その法人が個人データを取り扱わないのであれば、「提供する」場合にあたりません。
当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q&A Q12-3)
外国法人・外国設置サーバーであること
次に、サーバーが外国に設置されていても、そのサーバーが国内企業の管理するものであれば、「外国にある第三者」への提供に該当しません。
また、サーバーの運営者がサーバーに保存された個人データを国内で取り扱っている場合には、サーバーの運営者は個人情報取扱事業者に該当するため、「外国にある第三者」への提供に該当しません(Q&A Q10-23)。このように、外国法人が管理する外国設置のサーバーへの保存でなければ「外国にある第三者」への提供に該当しません。
おわりに
このように、クラウドサービスに個人データを保存するだけであれば、「外国にある第三者への提供」に該当せず、本人の同意は必要ありません。
また、取扱いを含む場合であっても、委託先が日本法人(サーバーは外国所在)である場合や、外国法人であっても日本国内にサーバーがある場合には、やはり「外国にある第三者」に該当しません。
よって、多くのケースでは同意は不要と考えられますが、あらためて、外国法人へ個人データの取扱いを委託する契約内容となっていないか、確認をしておくことが望ましいといえます。
ただし、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があるとされている点には注意が必要です(Q&A Q10-22)。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。