外国にある第三者へ個人データを提供する場合の注意点

IT・情報セキュリティ 公開 更新

 外国にある第三者とは、自社の支店や駐在員事務所、現地法人も該当するのでしょうか。また、外国にある第三者へ個人データを提供する場合、具体的にどのような点に注意すればよいでしょうか。

 自社の支店や駐在員事務所は外国にある第三者に該当しません。一方、同一グループであっても現地法人は外国にある第三者に該当するので個人情報保護法24条が適用されます。

 外国法人であっても、日本国内に事務所を設置している場合、または、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められるときは、当該外国法人は、「個人情報取扱事業者」に該当するため、「外国にある第三者」には該当しません。
 ①あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合、②個人情報保護法23条1項各号に該当する場合には個人情報取扱事業者は外国にある第三者に対しても個人データの提供をすることができます。
 ①、②のいずれにも該当しない場合に、個人データの第三者提供が認められるケースは限られているので注意が必要です。詳細は解説をご参照ください。

解説

※本QAの凡例は注のとおりです1

外国にある第三者(GL(外国第三者提供編)2-2)

 「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれます。具体的には、次のように該当性が判断されます。法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで第三者に該当するかを判断します。

個人情報取扱事業者と同一法人の海外支店や駐在員事務所

 個人情報取扱事業者と同一法人の海外支店や駐在員事務所は「第三者」への提供には該当しないので、海外支店や駐在員事務所への個人データの提供は「外国にある第三者」への提供には該当しません。この場合は、個人情報保護法23条、24条のいずれも適用されず、「利用目的」の範囲内であれば個人データを利用することが認められます

現地法人等

 これに対して、個人情報取扱事業者と同一グループの会社であっても、日本国外の国・地域にある会社(現地法人等)は「外国にある第三者」に該当し、個人情報保護法24条が適用されます

「外国にある第三者」に該当しない外国法人

 他方、外国法人であっても、日本国内に事務所を設置している場合、または、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められるときは、当該外国法人は、「個人情報取扱事業者」に該当するため、「外国にある第三者」には該当しません(GL(外国第三者提供編)2-2)。たとえば、日系企業の東京本店が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は「個人情報取扱事業者」に該当し、「外国にある第三者」には該当しません。

 日本国内に事務所がない外国法人であっても、日本の居住者等国内にある者に対して物品やサービスの提供を行い、それに関連してその者が外国において個人情報を取り扱う場合には、改正法により個人情報取扱事業者(個人情報保護法75条)として取り扱われるため、「外国にある第三者」には該当しません。

あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合

 「あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合」は、個人情報取扱事業者は外国にある第三者に対して個人データを提供することができます。
 個人情報保護法23条1項の「本人の同意」がある場合でも、「外国にある第三者への提供を認める旨の本人の同意」がなければ外国にある第三者には個人データを移転することはできません

外国にある第三者への提供を認める旨の本人の同意を取得するには

 「外国にある第三者への提供を認める旨の本人の同意」を取得する際には、事業の性質および個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければなりません。この方法には、提供先の国または地域名(例:米国、EU加盟国)を個別に示す方法、実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)、「国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法」などが含まれ得ます(Q&A9-2)。

国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法

 「国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法」とは、本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合を指します。たとえば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供することは、当該国の記載がなくても、実質的に本人からみて提供先の国名を特定できるものと考えられます(Q&A9-3)。

 「日本国内の第三者に限定する」旨や「外国にある第三者に提供してはならない」旨の明示がないことのみをもって、個人情報保護法24条の同意があるものとはみなされません。

個人情報保護法23条1項各号に該当する場合

 個人情報保護法23条1項各号(下記)に該当する場合には、個人情報取扱事業者は外国にある第三者に対しても個人データの提供をすることができます。

  1. 法令に基づく場合(個人情報保護法23条1項1号)
  2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(個人情報保護法23条1項2号)
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(個人情報保護法23条1項3号)
  4. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(個人情報保護法23条1項4号)

 「法令に基づく場合」(個人情報保護法23条1項1号)の「法令」には、日本国内の「法令」しか含まれず、「外国の法令に基づく場合」はこれに該当しません。

 外国の法令に基づき個人データを第三者提供しなければならない場合は、「人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(個人情報保護法23条1項2号)など、個人情報保護法23条1項の他の号に該当しないか検討する必要があります。

 「国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合」(個人情報保護法23条1項4号)の「国の機関」、「地方公共団体」および「法令の定める事務」も日本国内の「国の機関」、「地方公共団体」および「法令の定める事務」のことをいいます。

 「外国の機関もしくは外国の地方公共団体またはその委託を受けた者が外国の法令の定める事務を遂行することに対して協力する必要がある場合」は、「人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(個人情報保護法23条1項2号)など、個人情報保護法23条1項の他の号に該当しないか検討する必要があります。

個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者への提供をする場合

 「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合には、従前どおり、個人情報保護法23条が適用されます。

 すなわち、①あらかじめ本人の同意がある場合、②法令に基づく場合等の個人情報保護法23条1項各号に該当する場合、③オプトアウトの方法を利用する場合、④個人情報保護法23条5項各号に該当する場合((i)個人データの取扱いの委託、(ii)合併等の事業の承継に伴って個人データが提供される場合、(iii)個人データを特定の者との間で一定の条件の下共同して利用する場合)には、本人の事前の同意がなくても第三者への提供が認められます。

 これはEUデータ保護指令の「十分性の認定」の枠組みを参考にしているものと考えられます。詳細については、「EU一般データ保護規則が改正個人情報保護法に与える影響」をご参照ください。

 どのような国・地域が「個人情報保護委員会規則で定める国・地域」として定められるか注目されましたが、現時点(平成29年12月時点)では、規則では「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」は定められていません。
 したがって、現時点(平成29年12月時点)では、この要件に該当する国・地域ということで、個人情報保護保護法24条ではなく個人情報保護保護法23条が提供される国・地域はありません

 この点について、個人情報保護委員会は「様々な国において制度の見直しが行われていることもあり、また、詳細かつ多角的な調査・検討が必要であることから、今後、継続的に検討してまいります。」と回答しています(PC533、534)。
 平成29年6月16日に個人情報保護委員会が決定した「個人情報保護法第24条に係る委員会規則の方向性について」においては、日EU間の個人データの移転については、相互の円滑な移転を図る枠組みの構築を視野に、欧州委員会司法総局との間で累次の対話を重ねてきており、互いの個人情報保護制度に関する理解が進んでいるところである状況を踏まえ、個人情報保護法24 条における外国指定に関する委員会規則について、次のような考え方を軸に検討を進めることとしています。

  • 規則の方向性
    委員会規則に、次の①~⑤を外国指定に当たっての判断基準として盛り込む方向で検討する。
    1. 個人情報保護法に定める個人情報取扱事業者の義務に関する規定に相当する規定又は規範があること、また、これらを遵守する態勢が認められること。
    2. 独立した個人情報保護機関が存在し、当該機関が必要な執行態勢を確保していること。
    3. 我が国としてその外国を指定する必要性が認められること。
    4. 相互の理解、連携及び協力が可能であること。
    5. 個人情報の保護を図りつつ相互の円滑な移転を図る枠組みの構築が可能であること。

  • 個別の外国の定め方
    個別の外国については、上記の委員会規則に基づき告示において規定することを検討する。

 平成29年12月6日に個人情報保護委員会が公表した個人情報保護法施行規則の改正案(「個人情報保護法第24条に係る委員会規則の改正案」)においては、個人情報保護法24条の「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」に関する基準を示す規定の案が示されています2

【個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国】

第11条 法第24条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。

一 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること

二 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること

三 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること

四 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること

五 前4号に定めるもののほか、当該外国を法第24条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること


2 個人情報保護委員会は、前項の規定による外国を定める場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができる。

 すなわち、個人情報保護法24条の「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」とは、以下の基準を充たすものとして、個人情報保護委員会が告示で定めるものです(改正後の個人情報保護委員会規則11条1項)。

  1. 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
  2. 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること
  3. 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること
  4. 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
  5. 当該外国を法第24条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること

 個人情報保護委員会は、告示において「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」を定めた場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができます(改正後の個人情報保護委員会規則11条2項)。
 この改正は、平成30年(2018年)1月5日までのパブリックコメントを経た後、同年春頃を目途に公布・施行されます。

 なお、この改正により、個人情報保護法24条の「個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準」を示す現行の個人情報保護委員会規則11条は、繰り下げられ、同施行規則11条の2となります。

個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供をする場合

 上記の「個人情報保護委員会規則で定める国・地域」については規則で定められないため、①あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合または②個人情報保護法23条1項各号に該当する場合のいずれにも該当しない場合に、個人データの第三者提供が認められるのは、「個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供をする場合」に限られることになります。

 「個人情報保護委員会規則で定める基準に適合する体制を整備している者」として、以下の2つの体制が定められました(個人情報保護法施行規則11条)。

  1. 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること(個人情報保護法施行規則11条1号)
  2. 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(個人情報保護法施行規則11条2号)

個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること(規則11条1号)

 以下のとおり、「適切かつ合理的な方法」(1)により、「法第4章第1節の規定の趣旨に沿った措置」(2)を講じなければなりません。

(1)適切かつ合理的な方法(GL(外国第三者提供編)3-1)

 個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要があります

事例1
外国にある事業者に個人データの取扱いを委託する場合
提供元および提供先間の契約、確認書、覚書等

事例2
同一の企業グループ内で個人データを移転する場合
提供元および提供先に共通して適用される内規、プライバシーポリシー等

 なお、この措置を講じなければならない対象は、実際に提供を行った「当該個人データ」であることから、提供先で取り扱っている他の個人情報の取扱いについてまで当該措置を講ずることが求められているものではありません。

(2)個人情報保護法第4章第1節の規定の趣旨に沿った措置(GL(外国第三者提供編)3-2)

 「法第4章第1節の規定の趣旨に沿った措置」は、具体的には、国際的な整合性を勘案すると下記表のとおりです。これは、国際的な整合性の判断は、経済協力開発機構(OECD)におけるプライバシーガイドラインやアジア太平洋経済協力(APEC)におけるプライバシーフレームワークといった国際的な枠組みの基準に準拠しています。

 外国にある第三者は、「法第4章第1節の規定の趣旨に沿った措置」として以下の事項について、適切かつ合理的な方法(上記(1))に記述する方法によって担保されていなければなりません。もっとも、契約等にすべての事項を規定しなければならないものではなく、「法第4章第1節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、措置の実施が確保されていれば足ります。

 下記では、個人情報保護法ガイドライン(外国第三者提供編)に示された「日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合」と「日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合」の対応についても記載しています。

個人情報保護法第4章第1節の
規定の趣旨に沿った措置
日本にある個人情報取扱事業者が、
外国にある事業者に顧客データの入力業務を委託する場合
日本にある個人情報取扱事業者が、
外国にある親会社に従業員情報を提供する場合
第15条 利用目的の特定 委託契約において、外国にある事業者による利用目的を特定する。 就業規則等において利用目的を特定する。
第16条 利用目的による制限 委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。 従業員情報を就業規則において特定された利用目的の範囲内で利用する。なお、利用目的の範囲を超える場合には、当該従業員の同意を得る必要があるが、その場合、日本にある個人情報取扱事業者が同意を取得することも認められるものと解される。
第17条 適正な取得 外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。 外国にある親会社が内規等に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
第18条 取得に際しての利用目的の通知等 日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。 日本にある個人情報取扱事業者が従業員に対して利用目的の通知等をする。
第19条 データ内容の正確性の確保等 委託契約によりデータ内容の正確性の確保等について規定するか、または、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うことになる。 日本にある個人情報取扱事業者を通じて従業員情報の正確性を確保する。
第20条 安全管理措置 委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。GL(通則編)「(別添)講ずべき安全管理措置の内容」を参照。 内規等により外国にある親会社が安全管理措置を講ずる旨を規定する。
第21条 従業者の監督 委託契約により外国にある事業者の従業者の監督に係る措置を規定する。 内規等により外国にある親会社の従業者の監督に係る措置を規定する。
第22条 委託先の監督 委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
①適切な委託先の選定
②委託契約の締結
③委託先における個人データ取扱状況の把握
内規等により外国にある親会社の再委託先の監督に係る措置を規定する。
第23条 第三者提供の制限 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。 内規等により外国にある事業者からの個人データの第三者提供を禁止する。
第24条 外国にある第三者への提供の制限 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、個人情報保護法22条の委託先の監督義務のほか、個人情報保護法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
内規等により外国にある親会社からの個人データの第三者提供を禁止する。
外国にある親会社から更に他の国にある子会社等に個人データを移転する場合にも、内規等により個人情報保護法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
第27条~
第33条、
第35条
保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
内規等により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。

個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(個人情報保護法施行規則11条2号、GL(外国第三者提供編)3-3)

 「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要があります。

 これには、提供先の外国にある第三者が、APECの越境プライバシールール(CBPR)システムの認証を得ていることが該当します
 「APEC CBPRシステム」とは、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度です。APECの参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティエージェント(AA)を登録します。このAAが事業者について、その申請に基づきAPECプライバシーフレームワークへの適合性を認証します。

海外サーバ・海外クラウドサービス

 国内の事業者が、海外のクラウドサービスを利用する場合に影響が出てきます。

 上記1で説明したとおり、「外国にある第三者」とは、個人データの提供者と当該個人データの本人以外の者であって、外国に所在する者が該当し、法人の場合、個人データの提供者と別法人格を有するかどうかで第三者に該当するか判断します。

 日本企業X社が海外の現地法人Y社や委託契約を締結している外国法人Zに提供する場合、外国で法人格を取得しているため、日本企業X社にとって「外国にある第三者」に該当します。
 日本企業X社から、同社の海外支店や駐在員事務所は、X社と同じ法人格であるため、日本企業X社にとって「外国にある第三者」に該当しません。
 これによれば、外国にサーバを設置している場合であっても、自社サーバであれば、「外国にある第三者」への提供に該当しませんが、他社サーバの場合は、「外国にある第三者」への提供に該当することになります。

 他社サーバが「外国にある第三者」への提供に該当する場合は、個人情報保護法24条においては、個人情報保護法23条5項1号の「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」という個人データの提供が認められません。

 もっとも、クラウドサービスがそもそも、「個人データの取扱いを委託する場合」に該当するのかという疑問もあります。
 「個人データの取扱いの委託」(個人情報保護法22条)とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいいます。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定されます(GL(通則編)3-3-4)。

 この点、Q&Aにおいては、『当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第24条)に該当しません。当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。』とされています(Q&A9-5)。

 このように、契約条項において、海外のクラウドサービス業者が、個人データを取り扱わない旨が定められており、適切にアクセス制御がなされている場合には、「外国にある第三者」への個人データの提供には該当しないものと考えられます

外国にある第三者への匿名化情報の委託

 外国にある第三者への匿名化情報の委託に関して、以下のQ&Aがあります。

Q9-11
外国にある第三者に対して、氏名を削除するなどして個人を特定できないようにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が 個人情報に復元することがないような場合においても、法第24条は適用されますか。

A9-11
法第24条は適用されます。受領者たる「外国にある第三者」にとって個人情報 に該当しないデータを提供する場合において、当該者が個人情報を復元することがない こととなっているときは、結果として、施行規則第11条で定める基準に適合する体制を 整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱 事業者は法第22条に基づき委託先に対する監督義務があることに留意が必要です。

 このQ&Aによれば、個人データを委託するにあたって、氏名を削除などして個人を特定できないようにした場合には、「個人情報保護委員会規則で定める基準に適合する体制」を整備しているものとみなされるものと解されます。したがって、この場合は、個人情報保護法24条は適用されず、個人情報保護法23条が適用され、個人情報保護法23条5項1号の「個人データの取扱いの委託」に該当するものとして、本人の同意なく委託をすることができるものと考えられます

<追記>
2017年12月28日(木)12:20:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

    • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
    • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
    • Q&A:「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(平成29年2月16日個人情報保護委員会)
    • 個人情報保護ガイドライン(通則編)、GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
    • 個人情報保護法ガイドライン(外国第三者提供編)、GL(外国第三者提供編):個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年11月30日個人情報保護委員会告示第7号)
    • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

    ↩︎

  1. 参照:パブリックコメント「「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に関する意見募集について」 ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

90秒で登録完了

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する