※(2024年2月5日追記)
はじめに
外国にある第三者へ個人データを提供するには、原則として、その旨の本人の同意が必要です。もっとも、大きく2つの例外があり、これらに該当すれば、「外国にある第三者への提供」に関する同意は不要となります。
「外国」から除外される国・地域
まず、「外国」については、以下のような限定が付されています。
「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。」
そして、現在(2024年2月時点)、この同水準の保護制度を有している外国として定められているのは、EUとイギリスになります(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号))。
よって、提供先がEU又はイギリスであれば、「外国」にあたらず、「外国にある第三者への提供」に関する同意は不要です。
「第三者」から除外される事業者
個人データの取扱いについて、「相当措置」を継続的に講ずるために必要な基準に適合する体制を整備している事業者は「第三者」から除外されます。
この必要な基準への適合性については、
1)個人情報取扱事業者と個人データの提供を受ける者との間で法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること(ケースバイケースの判断)
又は
2)APECのCBPR認証取得事業者(規則16条)
であることを要します。
なお、必要な体制が整備されていることについて、個人情報保護委員会に対する事前の届出等は必要ありません。
規則第16条(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
法第28条第1項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
(1)個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
(2)個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
外国法人が個人データを取り扱うこと
これらの他、クラウドサービスに個人データを保存するだけであれば、「外国にある第三者への提供」に該当せず、本人の同意は必要ありません。
また、個人データの取扱いを含む場合であっても、委託先が日本法人(サーバーは外国所在)である場合や、外国法人であっても日本国内にサーバーがある場合には、やはり「外国にある第三者」に該当しません。
おわりに
このように、外国にある第三者へ個人データを提供することへの本人同意には、大きく2つの例外があります。これらに該当すれば、「外国にある第三者への提供」に関する同意は不要となります。
また、外国にサーバーがあっても日本法人である場合や、その外国法人が個人データを取扱わない場合には、「外国にある第三者への提供」に該当せず、本人の同意は必要ありません。
令和2年改正法により、本人の同意をえるには、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならないとされており、対応コストも相当高いと想定されるため、これら例外への該当性についてはよく検討しておくことが必要です。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。