個人情報

個人情報保護法を勉強しよう|外国にある第三者への提供の制限

著作者:creativeart/出典:Freepik

今回は、個人情報保護法を勉強しようということで、個人データに関する義務のうち外国にある第三者への提供の制限について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

外国にある第三者への提供の制限(法28条1項)

個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。

(外国にある第三者への提供の制限)
第二十八条
 個人情報取扱事業者は、外国…(略)…にある第三者…(略)…に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

単に第三者に提供することの同意ではなく、「外国にある」第三者に提供することの同意が必要、という意味合いになります。

「外国にある第三者」の該当性

外国」とは、本邦の域外にある国又は地域をいう(1項括弧書き)。

「外国にある第三者」の「第三者」とは、提供元である個人情報取扱事業者及び本人以外の者であり、外国政府などもこれに含まれる。

具体的には、次のように該当性が判断される(外国提供ガイドライン2-2)。

判断基準①:別の法人格を有するかどうか(「第三者」該当性)

法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうか「第三者」に該当するかを判断する。

例えば、日本企業が、外国の法人格・・・・・・を取得している当該企業の現地子会社に個人データを提供する場合には、当該日本企業にとって「外国にある第三者」への個人データの提供に該当するが、現地の事業所、支店など同一法人格内・・・・・・での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しない。

同一法人格内での移動の場合は、そもそも「第三者」に該当しないので、提供元は法27条(第三者提供の制限)の適用も受けない。

判断基準②:別法人であっても、日本国内で個人情報データベース等を事業の用に供しているかどうか(「外国にある第三者」該当性)

また、外国の法令に準拠して設立され外国に住所を有する外国法人であっても、例えば、日本国内に事務所を設置している場合、又は、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められるときは、当該外国法人は、「外国にある第三者」には該当しない

この場合、「外国にある第三者」には該当しないが、「第三者」には該当するので、提供元には法27条(第三者提供の制限)が適用される。また、提供先は、「個人情報取扱事業者」としての規律に服する。

日本国内で「個人情報データベース等」を事業の用に供していると認められるかどうかは、実態を踏まえた個別判断になる。

▽ガイドラインQ&A12-5

 国内事業者が外国事業者に個人データを提供する場合において、当該外国事業者が日本に出張所を有する場合、外国にある第三者に提供したこととなりますか。

 個人データの提供先が外国事業者である場合であっても、当該外国事業者が日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(法第28条第1項)に該当しません。
 もっとも、日本国内で個人情報データベース等を事業の用に供していると認められるか否かは、日本国内における事業の実態を勘案して、個別の事例ごとに判断することとなるため、国内に出張所を有することのみをもって直ちに当該外国事業者への個人データの提供が「外国にある第三者への提供」に該当しないこととなるわけではありません
(令和3年9月更新)

まとめ

まとめると、以下のようになる。

判断基準① 判断基準② 判定
同一の法人格 「外国にある第三者」に該当しない
外国の法令に準拠して設立され外国に住所を有する別の法人格 日本国内で「個人情報データベース等」を事業の用に供していると認められる
  日本国内で「個人情報データベース等」を事業の用に供していると認められない 「外国にある第三者」に該当する
・提供元には法28条が適用される
・提供先は個人情報保護法の適用外

提供

ここでいう「提供」とは、個人データを自己以外の者が利用可能な状態に置くことをいう。

個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば(利用する権限が与えられていれば)、「提供」にあたる(通則ガイドライン2-17)。

ただし、クラウドサービスのように、外国にある事業者が外国に設置して管理・運営するサーバに個人データを保存する場合であっても、その事業者が個人データを取り扱わないこととなっている場合には、「提供」に該当しない。

▽ガイドラインQ&A12-3

 外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか。

 …(略)…また、個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第28条第1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q7-53参照)。…(略)…

本人の同意

ここでいう「本人の同意」とは、個人データが個人情報取扱事業者によって外国にある第三者に提供されることを承諾する旨の本人の意思表示をいう。

同意の取得にあたっては、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある(外国提供ガイドライン2-1)。

また、同意の取得にあたっては、後述のように、本人に対して参考情報の提供を行わなければならない(法28条2項)。

法27条が適用される場合ー外国にある第三者からの除外

外国が認定国である場合(1項括弧書き→施行規則15条)

外国にある第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国認定国)にある場合は、法28条は適用されず、国内にある場合と同様に、法27条(第三者提供の制限)が適用される。

認定国は「外国」から除外されているので(1項括弧書き)、提供先が「外国にある第三者」に該当しないからである。

法27条は単に「第三者」と定めており、文言上、国内・外国の区別をしていません。そして、法28条はそれより狭い範囲の「外国にある第三者」について定めています(法28条後段も参照)。

ここで、法28条が適用されないということはつまり、元に戻って、法27条が適用される、ということになります(本人の同意が不要になる、ということではない)。

▽法28条1項括弧書き

(外国にある第三者への提供の制限)
第二十八条
 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。…略…)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者…(略)…に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

認定国を定める個人情報保護委員会規則は、施行規則15条であり、1項で、1号~5号までの認定要件が定められている。

(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)
第十五条
 法第二十八条第一項の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること。
 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること。
 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること。
 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること。
 前四号に定めるもののほか、当該外国を法第二十八条第一項の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること。
 (略)

認定要件を全て満たす外国として個人情報保護委員会が定めるものは、告示第1号で告示されている。

▽平成31年個人情報保護委員会告示第1号(▷掲載ページはこちら)第2項

 個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号。以下「規則」という。)第十五条第一項各号のいずれにも該当する外国として個人情報保護委員会が定めるものは、次のとおりとする。
 次に掲げる欧州経済領域協定に規定された国
アイスランド、アイルランド、イタリア、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク
 英国

簡単にいうと、EUと英国のことになります。

外国にある第三者が基準適合体制整備者である場合(1項括弧書き→施行規則16条)

外国にある第三者が、相当措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している者基準適合体制整備者)である場合は、法28条は適用されず、国内にある場合と同様に、法27条(第三者提供の制限)が適用される。

基準適合体制整備者は「外国にある第三者」から除外されているので(1項括弧書き)、提供先が「外国にある第三者」に該当しないからである。

▽法28条1項括弧書き

(外国にある第三者への提供の制限)
第二十八条
 個人情報取扱事業者は、外国…(略)…にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

必要な基準を定めている個人情報保護委員会規則は、施行規則16条である。2つの基準があり、いずれか一方の基準を満たす必要がある。

(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
第十六条
 法第二十八条第一項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第二節の規定の趣旨に沿った措置の実施が確保されていること。
 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

ざっと見ると、概要は以下のとおりである。

  • 適切かつ合理的な方法による相当措置の実施の確保
     「適切かつ合理的な方法」は、個々の事例ごとに判断されるべきであるが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある(外国提供ガイドライン4-1)。
  • 国際的な枠組みに基づく認定を受けていること
     「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要がある。
     これには、提供先の外国にある第三者が、APEC の CBPR システムの認証を取得していることが該当する(外国提供ガイドライン4-3)。

本人の同意を要しない場合ー法27条1項各号の適用除外事由

法27条1項各号に定める適用除外事由に該当する場合は、本人の同意を得ることなく、外国にある第三者に個人データを提供することができる(「前条第一項各号に掲げる場合を除くほか」との文言)。

なお、法27条(第三者提供の制限)に関しては、本人の同意を要しない場合として、ほかに、オプトアウトによる場合と、第三者に該当しない場合(委託、事業の承継、共同利用)があったが、これらは、法28条(外国にある第三者への提供の制限)に関しては適用されないことに注意が必要である(後段の「法27条の規定は、適用しない」との文言)。

(外国にある第三者への提供の制限)
第二十八条
 個人情報取扱事業者は、外国…(略)…にある第三者…(略)…に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない

同意取得時の参考情報の提供(法28条2項→施行規則17条)

外国にある第三者に個人データを提供しようとする場合、本人の同意を取得するにあたっては、本人に対して参考情報の提供を行わなければならない(法28条2項)。

 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない

ここでいう個人情報保護委員会規則は、施行規則17条である。

提供の方法(規則1項)

まず、提供の方法は、規則1項で定められている。

(外国にある第三者への提供に係る同意取得時の情報提供)
第十七条
 法第二十八条第二項又は法第三十一条第一項第二号の規定により情報を提供する方法は、電磁的記録の提供による方法書面の交付による方法その他の適切な方法とする。

提供すべき情報の内容(規則2項)

提供すべき情報の内容は、規則2項で定められており、以下の1号~3号までがある。

 法第二十八条第二項又は法第三十一条第一項第二号の規定による情報の提供は、次に掲げる事項について行うものとする。
一 当該外国の名称
二 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
三 当該第三者が講ずる個人情報の保護のための措置に関する情報

ざっと見ると、概要は以下のとおりである(外国提供ガイドライン5-2)。

  • 外国の名称
     提供先の第三者が所在する外国の名称をいう。必ずしも正式名称を求めるものではないが、本人が自己の個人データの移転先を合理的に認識できると考えられる名称でなければならない。また、提供先の第三者が所在する州等の名称を示すことまでは求められない。
  • 外国の個人情報保護制度に関する情報
     我が国の個人情報保護法との間の本質的な差異を、本人が合理的に認識できる情報でなければならず、具体的には以下の観点を踏まえる必要がある。
    1. その外国における個人情報保護制度の有無
    2. その外国の個人情報保護制度についての指標となり得る情報の存在
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
  • 提供先の第三者が講ずる個人情報保護措置に関する情報
     我が国の個人情報保護法により個人情報取扱事業者に求められる保護措置との間の本質的な差異を、本人が合理的に認識できる情報でなければならない(具体的には、提供先の第三者がOECDプライバシーガイドライン8原則に対応する措置を全て講じているかどうか等)。

上記②(外国の個人情報保護制度)に関しては、個人情報保護員会HPに一定の外国の制度が掲載されているので、情報の提供として、その国の制度情報にリンクを張るという運用がよく行われている。
諸外国・地域の法制度|個人情報保護委員会HP

同意取得時に移転先が特定できない場合等の取扱い(規則3項・4項)

同意取得時に移転先が特定できない場合等の取扱いに関しては、規則3項と4項に定められており、

  • 同意取得時に、提供先の第三者が所在する外国が特定できない場合(3項)
    →その旨と理由、及び、代替情報の情報提供
  • 同意取得時に、第三者が講ずる個人情報保護措置に関する情報が提供できない場合(4項)
    →その旨と理由の情報提供

がそれぞれ必要であるとされている。

 前項の規定にかかわらず、個人情報取扱事業者は、法第二十八条第一項の規定により本人の同意を得ようとする時点において、前項第一号に定める事項が特定できない場合には、同号及び同項第二号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
一 前項第一号に定める事項が特定できない旨及びその理由
二 前項第一号に定める事項に代わる本人に参考となるべき情報がある場合には、当該情報
 第二項の規定にかかわらず、個人情報取扱事業者は、法第二十八条第一項の規定により本人の同意を得ようとする時点において、第二項第三号に定める事項について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。

相当措置の継続的な実施を確保するために必要な措置の実施等(法28条3項→施行規則18条)

個人データを外国にある基準適合体制整備者に提供した場合、提供元の個人情報取扱事業者は、

  • 提供先の第三者が相当措置の継続的な実施を確保するために必要な措置
  • 本人の求めに応じ、必要な措置に関する本人への情報提供

を行わなければならないとされている(法28条3項)。

 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

ここでいう個人情報保護委員会規則は、施行規則18条である。

必要な措置の内容(規則1項)

必要な措置の内容は、規則1項で定められている。

定期的なモニタリング(1号)と、支障が生じたときの適切な措置、及び、継続実施が困難となったときの提供停止(2号)がある。

(外国にある第三者による相当措置の継続的な実施を確保するために必要な措置等)
第十八条
 法第二十八条第三項(法第三十一条第二項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第三十一条第二項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。

必要な措置に関する本人への情報提供(規則2項~5項)

必要な措置に関する本人への情報提供に関しては、規則2項以下で定められている。

情報提供の方法については、規則2項で定められている。

 法第二十八条第三項の規定により情報を提供する方法は、電磁的記録の提供による方法書面の交付による方法その他の適切な方法とする。

提供すべき情報の内容については、規則3項で定められている。

 個人情報取扱事業者は、法第二十八条第三項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
 当該第三者による法第二十八条第一項に規定する体制の整備の方法
 当該第三者が実施する相当措置の概要
 第一項第一号の規定による確認の頻度及び方法
 当該外国の名称
 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
 当該第三者による相当措置の実施に関する支障の有無及びその概要
 前号の支障に関して第一項第二号の規定により当該個人情報取扱事業者が講ずる措置の概要

情報提供しない旨の決定をした場合の対応については、規則4項と5項で定められている。

 個人情報取扱事業者は、法第二十八条第三項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
 個人情報取扱事業者は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

結び

今回は、個人情報保護法を勉強しようということで、個人データに関する義務のうち外国にある第三者への提供の制限について見てみました。

この分野はプロパーのガイドラインとして、外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)があります。

なお、本記事で触れた法28条が適用されない場合を、文言に沿ってまとめてみると、以下のようになります。

文言 法28条が適用されない場合
「外国」 その外国が認定国である場合(「外国」から除かれるため)
「第三者」 法人格が同一である場合(「第三者」に該当しないため)
「外国にある第三者」 日本国内で個人情報データベース等を事業の用に供していると認められる場合(「外国にある第三者」に該当しないため)
基準適合体制整備者である場合(「外国にある第三者」から除かれるため)
「提供」 個人データを取り扱わないこととなっている場合(「提供」に該当しないため)

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

個人情報保護法に関するその他の勉強記事

個人情報

個人情報保護法を勉強しよう|第三者提供の制限

個人情報

個人情報保護法を勉強しよう|個人関連情報の定義

個人情報

個人情報保護法を勉強しよう|個人データに関する義務

個人情報

個人情報保護法を勉強しよう|個人情報の定義

個人情報

個人情報保護法を勉強しよう|保有個人データに関する義務

参考文献・主要法令等

主要法令等

リンクをクリックすると、e-Gov又は個人情報保護委員会HPの掲載ページに遷移します
  • 個人情報保護法(「個人情報の保護に関する法律」)
  • 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
  • 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
  • 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
  • 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
  • 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
  • ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
  • 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
【特定分野ガイドライン】

-個人情報
-