コラム

インターネットと個人情報

個人情報保護法上の「外国にある第三者」への提供

*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています(2022年5月16日追記)。

「外国にある第三者」への個人情報の提供
個人情報保護法は、「外国にある第三者」に個人データを提供する場合につき、国内の第三者に対して個人データを提供するのとは異なる規制を設けています。これは国境を超える情報流通に対応したものですが、一方で、情報利用を不当に制限しないため、一定の例外を設けています。

外国にある第三者への提供についての規定
個人情報保護法(以下、「法」といいます。)第28条は、外国にある第三者に対する個人データの提供について、以下のように定めています。

法第28条
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第31条第1項第2号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

カッコ書きが多くやや複雑な規定となっていますが、骨組みだけを取り出すと以下のようになります。

①外国にある第三者に対し
②個人データを提供する場合には、
③27条第1項各号に掲げる場合を除くほか
④あらかじめ外国にある第三者への提供についての本人の同意を得なければならない。

法第27条第1項は、法令に基づく場合のほか、人の生命、身体又は財産の保護のために必要があって本人の同意を得ることが困難である場合など例外的な場合を定めているものですから、外国にある第三者に対する個人データの提供をするためには、基本的には本人の同意を得なければならないことになりそうです。しかしそれでは業務の円滑な遂行が妨げられるとして、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)で、本人の同意が不要となる場合が定められています。

外国にある第三者への提供でない場合
外国にある第三者への提供でない場合については、以下のように整理できます。

ⅰ.「第三者」提供ではない場合
ex.)日本企業の、外国における現地事業所、支店に個人データを提供する場合等
⇒上記にあたる場合は、同一法人内での個人データのやり取りに過ぎないため、第三者提供にあたらないものとされています。一方、現地子会社に個人データを提供する場合は、別法人に個人データを提供する者であるため、「第三者」提供にあたるものとされています。

ⅱ.「外国にある」第三者への提供でない場合
ex.)外国法人のうち、「個人情報取扱事業者」(*)である法人に個人データを提供する場合等
⇒上記にあたる場合は、個人情報保護法の規定が直接適用されるため、外国にある第三者への提供でなく、通常の第三者提供になります。例えば、外国法人が日本国内に事務所を設置し、個人データベースを事業の用に供している場合、当該法人は「個人情報取扱事業者」にあたるため、「外国にある」第三者にはあたらないことになります。

*個人情報保護法2条5項。個人情報保護法上の義務の主体となる者です。

外国にある第三者への提供にあたるが、例外として提供が許容される場合
上記とは異なり、外国にある第三者にあたるものであるけれども、例外として第三者提供が許容されている場合があります。本人の同意が不要となる「外国にある第三者への提供」の例外についてはこちらのコラムで説明していますのでご覧ください。

おわりに
外国にある第三者への提供については、通常の第三者提供と異なり、オプトアウトによる第三者提供などの方法が定められておらず、原則本人の同意が必要となることになります。上記例外にあたるか否かによって事業者の取るべき対処法が大きく変わってくるため、予定している個人情報の提供が本人の同意取得が必要なものであるのか、しっかり検討することが必要です。

PAGE TOP