個人情報保護法 – 法第28条

法第28条(外国にある第三者への提供の制限)

個人情報保護法 – 法第28条

外国にある第三者への提供の制限について

ビジネス環境がグローバル化するにつれ、日本の企業もその影響を受けています。特に、顧客情報やその他の個人情報の管理に関して、日本国外のベンダーに業務を委託するケースが増えています。このようなグローバルなアウトソーシングは、コスト削減、効率化、また、特定の技術や専門知識が必要な場合に行われます。

このような国外への業務委託は個人情報保護の面で特に注意が必要です。日本の個人情報保護法には、国内企業が日本国外の業者(第三者)に個人情報のデータ処理・管理を委託する際の取り扱いについて明確な規定があります。外国で日本人の個人情報を取り扱う事業者は、日本国内の事業者と同様の義務を負います。委託元は、個人情報の適切な管理と保護のため、委託先が適切で十分なセキュリティ対策を講じていることを確認する必要があります。

企業は、海外のベンダーとの契約を結ぶ際には、個人情報の取り扱いに関する法律や規制に精通している必要があり、また、データの安全性、プライバシーの保護、および適切なデータ管理を確保するための措置を講じる必要があります。これには、定期的な監査やプライバシーポリシーの更新、ベンダーとのコミュニケーションの強化などが含まれます。これにより、国際的なデータ流通の利便性を享受しつつ、顧客の信頼を維持し、法的なリスクを最小限に抑えることが可能になります。

外国の第三者への個人情報の提供については、個人情報保護法の第28条に次のように定められています。

(外国にある第三者への提供の制限)

第二十八条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

要約すると、外国にある第三者に個人データを提供するためには、法律の第28条に定められた以下の1、2、3のいずれかの条件を満たす必要があります。

  1. 外国の第三者への提供について事前に本人の同意を得る。同意を得る際には以下の情報を提供する。
    i. 情報が転送される外国の名前
    ii. 適切かつ合理的な方法で取得した当該外国の個人情報保護の制度に関する情報
    iii. 第三者が個人情報の保護のために取る措置に関する情報
  2. 外国の第三者が適切な制度を設けている。※
  3. 外国の第三者が、個人情報保護委員会によって認識されている国または地域に位置している。EUと英国のみが該当する(2022年4月時点)。

上記の#2については、個人情報の保護に関する法律の施行規則の第16条に以下のように定められています。

(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)

第十六条 法第二十八条第一項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。

(1) 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第二節の規定の趣旨に沿った措置の実施が確保されていること。

(2) 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

https://elaws.e-gov.go.jp/document?lawid=428M60020000003

以下は上記(1)および(2)の項目についての追加説明です:

(1)について:外国の第三者によって、個人情報保護法の目的に沿った措置が講じられており、これは契約による合意、共通の内部規則、または個人データを提供する事業体によるアジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システムの認証取得によって確保される。

(2)について:外国の第三者は、個人情報の取り扱いに関する国際的な枠組みに基づいて認証されています(例:APEC越境プライバシールール(CBPR)システムに基づく認証。APEC越境プライバシールール(CBPR)システムは、APEC地域内での個人データの越境移動を促進するためのメカニズムです)。

「法の第4章第2節の規定の趣旨に沿った適切かつ合理的な措置」については、個人情報の保護に関する法律施行規則の第18条に以下のように定められています:

個人情報の保護に関する法律施行規則
(外国にある第三者による相当措置の継続的な実施を確保するために必要な措置等)
第十八条 法第二十八条第三項(法第三十一条第二項において読み替えて準用する場合を 含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
一 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
二 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ (法第三十一条第二項において読み替えて準用する場合にあっては、個人関連情報)の 当該第三者への提供を停止すること。
2 法第二十八条第三項の規定により情報を提供する方法は、電磁的記録の提供による方 法、書面の交付による方法その他の適切な方法とする。
3 個人情報取扱事業者は、法第二十八条第三項の規定による求めを受けたときは、本人に 対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提 供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすお それがある場合は、その全部又は一部を提供しないことができる。
一 当該第三者による法第二十八条第一項に規定する体制の整備の方法
二 当該第三者が実施する相当措置の概要
三 第一項第一号の規定による確認の頻度及び方法
四 当該外国の名称
五 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
六 当該第三者による相当措置の実施に関する支障の有無及びその概要
七 前号の支障に関して第一項第二号の規定により当該個人情報取扱事業者が講ずる措置の概要
4 個人情報取扱事業者は、法第二十八条第三項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
5 個人情報取扱事業者は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなけ ればならない。

https://www.ppc.go.jp/files/pdf/personal_commissionrules.pdf

外国で個人情報を取り扱う事業者は、日本国内の事業者と同様の義務を負います。これは、個人情報を取り扱う事業者及び個人情報に関連する情報を取り扱う事業者の義務に関する法律の第4章第2節、第17条から第40条に定められています。


https://elaws.e-gov.go.jp/document?lawid=415AC0000000057