その他令和8年1月22日
個人情報の外国への第三者提供に関する解説(同意、クラウドサービス、同等水準国等)
掲載日
令和8年1月22日
号種
号外
原文ページ
p.38
出典:官報発行サイトの掲載情報を加工しています。AI 抽出や OCR に誤りが含まれる可能性があるため、 重要な確認は公式原文を基準にしてください。
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
個人情報の外国への第三者提供に関する解説(同意、クラウドサービス、同等水準国等)
令和8年1月22日|p.38
本文はAI抽出です。左の段落を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(解説)
(1) 本人の同意について
「本人の同意」とは、本人の個人データが、協会員によって外国にある第三者に提供されることを承諾する旨の当該本人の意思表示をいう。外国にある第三者への提供を認める旨の本人の同意を取得する際には、事業の性質及び個人情報の取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならない。
なお、個人データの第三者提供についての本人の同意を得る際には、原則として、書面によることとし、当該書面における記載を通じて、第2項から第4項までの規定により情報提供が求められる事項に加えて、
個人データの提供先の第三者
② 提供先の第三者における利用目的
③ 第三者に提供される個人データの項目
を本人に認識させた上で同意を得ることとする。
本人の同意を得ようとする時点において、①に掲げる事項が特定できない場合には、①に掲げる事項に代わる本人に参考となるべき情報を本人に認識させた上で、同意を得ることとする。当該情報の例としては、「提供先の第三者の範囲や属性に関する情報」が考えられる。
また、協会員があらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、外国にある第三者への提供に関する条項が他の個人情報の取扱いに関する条項等と明確に区別され、本人に理解されることが望ましい。
(2) クラウドサービス等の取扱い
クラウドサービスの内容は契約により異なり得るため、一律に規定することはできないものと考えられるところ、一般論として、契約条項により「外国にある第三者」が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等においては、当該「外国にある第三者」は当該個人データの提供を受けて取り扱っているとはいえない場合も想定される。
(3) 「我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則で定める国」について(第1項第1号)
以下のいずれにも該当する国として個人情報保護委員会が定めた国がこれに該当する。
① 保護法第4章又は第5章の規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
② 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督又は監視を行うための体制が確保されていること
③ 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること
④ 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
⑤ ①から④までに定めるもののほか、当該外国を本条の規定による外国として定めることが、我が国における行政機関等の事務及び事業の適正かつ円滑な運営を図り、又は我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること
注) 「我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則で定める国」は、EU及び英国が該当する(ここでいうEUとは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指す(ただし、英国は含まない)。)。
(4) 「適切かつ合理的な方法」について(第1項第2号)
個々の事例ごとに判断されるべきであるが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある。例えば、次の事例が該当する。
事例1) 外国にある事業者に個人データの取扱いを委託する場合
提供元及び提供先間の契約、確認書、覚書等
事例2) 同一の企業グループ内で個人データを移転する場合
提供元及び提供先に共通して適用される内規、プライバシーポリシー等
上記の方法を採用する場合、「保護法第4章第2節の規定の趣旨に沿った措置」として外国提供ガイドライン等に記述する事項について、適切かつ合理的な方法に記述する方法によって担保されていなければならない。なお、協会員は、契約等に外国提供ガイドライン等に記述する全ての事項を規定しなければならないものではなく、「保護法第4章第2節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、措置の実施が確保されていれば足りる。
提供元の協会員が越境プライバシールール(以下「CBPR」という。)の認証を取得しており、提供先の「外国にある第三者」が当該協会員に代わって個人データを取り扱う者である場合には、当該協会員がCBPRの認証の取得要件を充たすことも、「適切かつ合理的な方法」の一つであると解される。
(参照条文:保護法28条、施行規則15条から18条、通則ガイドライン1-1、3-6-4、外国提供ガイドライン2-1、3、4-1、4-2、EU等補完的ルール(4))
読み込み中...
テキスト領域
選択中
非公開 (PII)