はじめに
個人情報取扱事業者は、個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければなりません(法20条)。そして、この安全管理措置に、新たに「外的環境の把握」が追加されたため、事業者は、「外的環境の把握」を含む保有個人データの安全管理措置について、本人の知り得る状態に置かなければならなくなりました。
外的環境の把握とは
個人情報取扱事業者は、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
「外国において個人データを取り扱う場合」について、ウェブサービスの事業者との関係では、Q&Aで例示されている以下の点が重要です。
1)外国にある第三者に個人データの取扱いを委託する場合
2)外国にあるクラウドサービス提供事業者が個人データを取り扱わないこととなっている場合において、当該クラウドサービスを利用し、その管理するサーバに個人データを保存する場合
1)の場合、委託先が外国にある第三者に個人データの取扱いを再委託する場合も同様となります。また、「外国にある第三者」が日本国内に所在するサーバに個人データを保存する場合であっても変わりはないとされています(Q&A10-24)。
2)の場合、「外国にある第三者への提供」には該当しないため本人の同意は要しないものの、外国において個人データを取り扱うことになるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。
2)の場合の講ずべき措置
2)のような場合には、「保有個人データの安全管理のために講じた措置」として、
1.クラウドサービス提供事業者が所在する外国の名称 及び
2.個人データが保存されるサーバが所在する外国の名称 を明らかにし、
3.当該外国の制度等を把握した上で講じた措置の内容
を本人の知り得る状態に置く必要があります。
個人データが保存されるサーバが所在する国を特定できない場合には、「2.サーバが所在する外国の名称」に代えて、
ⅰ サーバが所在する国を特定できない旨及びその理由、及び、
ⅱ 本人に参考となるべき情報を
本人の知り得る状態に置く必要があります。
「ⅱ 本人に参考となるべき情報」としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられるとされています(以上について(Q&A10-25)。
おわりに
以上のように、外国にあるクラウドサービス事業者の利用については、「同意の有無」とは別に、「外的環境の把握」を含む保有個人データの安全管理措置の要否も検討する必要があるため、注意が必要です。
なお、外国にあるクラウドサービス事業者の利用に関する「同意の有無」については、こちらも参考にされてください。
本人の同意が不要となる「外国にある第三者への提供」の例外とは?
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。