個人データの利活用

7 外国への個人データの提供 私たちの個人データが外国で勝手に利用されることはないのですか。

こーほうは、子供たちの個人データが海外に渡り、勝手に利用されることがないか心配のようですね。
 最近は、外国の企業が提供するサービスを利用することも増えてきていると思います。生活者からも「海外の企業に日本人の個人データをデータベース化され、勝手に利用されてしまうのではないか」との疑問をいただいています。
 この項目では、個人データの外国への提供についての日本の制度、企業の対応、そして日本以外の国での個人データ保護の状況などについて紹介します。

もくじ

更新 個人データの外国への提供はどうなっているのですか。

キャラクター

 経済・社会活動のグローバル化や情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について、一定の規律を設ける必要が増したことなどを受け、個人情報保護法において、外国にある第三者に対する個人データの提供に関する規定が設けられています。
 個人データの外国への提供に関して、個人情報保護法では、「外国にある第三者に個人データを提供する場合」として、①「外国にある第三者に提供することについて、あらかじめ本人の同意を得る」、②「外国にある第三者が適切な体制を整備している」、③「外国にある第三者が個人情報保護委員会が認めた国又は地域(EU及び英国。令和4年4月時点)に所在している」のいずれかを満たす必要があるとしています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.15)
 個人情報保護委員会は、外国にある第三者が適切な体制を整備していることについては、「外国の第三者において、個人情報保護法の趣旨に沿った措置を実施することが、委託契約・共通の内規・個人データを提供する者によるAPEC越境プライバシールールシステムの認証取得等によって担保されていること」などとしています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.15)
 加えて、2022年4月の個人情報保護法改正により、外国にある第三者への個人データの提供時に、本人に対し、移転先事業者における個人情報の取扱いに関する情報提供の充実等が求められることとなりました。
 具体的には、本人の同意を得る場合には、同意取得時に、「移転先の所在国の名称」「当該外国における個人情報の保護に関する制度」「移転先が講ずる個人情報の保護のための措置」に関して情報を提供することが義務付けられました。(「令和2年改正個人情報保護法概要リーフレット」PDF/P.2)
 また、外国にある第三者が適切な体制を整備している場合には、「移転先事業者の取扱い実施状況等の定期的な確認」「問題が生じた場合の対応の実施」といった必要な措置を継続的に取るとともに、「本人の求めに応じてこれらの対応や移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法、当該外国の名称等に関する情報を提供すること」が義務付けられました。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.15)

 

外国にある第三者に個人データを提供する場合

(出所)令和2年改正個人情報保護法概要リーフレットより経済広報センター作成

文中のリンクまとめ

個人データの外国への提供に関する法制度を紹介しているWEBサイト

個人情報保護委員会

日本の企業は外国に個人データを提供するのですか。

キャラクター

 個人データを外国にある第三者に提供する場合について、日本情報経済社会推進協会(JIPDEC)では、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」において、「J.8.8.1 外国にある第三者への提供の制限」という項目を設けており、外国にある第三者に個人情報を提供する場合は、法令等で定められている場合を除き、あらかじめ本人の同意を得ている場合等に限定することを事業者に求めています。
 また、LINEヤフープライバシーセンターの「パーソナルデータの連携」では、「LINEヤフーのサービス改善・向上等のため」において、「LINEヤフーは、パートナー企業に対してパーソナルデータを連携する場合があります」、「パートナー企業には、外国にある第三者を含みます。対象データを連携する国・地域名については以下をご確認ください」とした上で、「海外パートナー企業へのデータ連携」にて「提供・委託先の国または地域の例」が掲載されています。

文中のリンクまとめ

個人データの外国への提供について触れているWEBサイト

JIPDEC
LINEヤフープライバシーセンター

個人データに関する制度は、日本と外国では違うのですか。

キャラクター

 諸外国にも、個人データ保護に関する制度があります。日本貿易振興機構(ジェトロ)のWEBサイトでは、欧州連合(EU)の「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」や中国の「個人情報保護法」を紹介しています。また、米国では、分野横断的な個人情報保護法は存在せず、消費者プライバシー権利章典など個別分野毎に保護の仕組みが設けられている状況の中で、米国では、米国データプライバシー法案の検討が進められていることを紹介しています。
 個々の企業でも、外国の個人データ保護に関する制度への対応を公表しています。例えば、帝人の「帝人グループのGDPRに関する個人情報保護方針」では、「1. 当社の個人情報保護に関する声明」において、「当社は、適用されるEUおよびEU加盟国のデータ保護に関する規制、特にデータ保護に関する一般データ保護規則第2016/679号(以下「GDPR」といいます)に従ってこの個人情報を処理します」とした上で、「当社がお客様の個人情報を本方針に記載されているように使用することをご希望にならない場合は、当社に個人情報をご提供にならないようお願い申し上げます」と記しています。

文中のリンクまとめ

外国における個人データの取り扱いについて紹介しているWEBサイト

ジェトロ
帝人

 個人データを提供する際に、外国にある第三者への提供について、国や企業がどのような対応をしているのか、個人が提供の是非を考える際に大変重要となる事項であり、分かりやすい情報の発信が求められています。