日本から外国にある第三者に個人データを提供する際に必要な「本人の同意」を得る必要がない場合(個人情報保護法28条1項)
「個人情報保護法28条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」に該当する場合には、個人情報保護法23条【27条】の規律が適用されます。
当該第三者が所在する国または地域は、個人情報保護法28条1項における「外国」に該当しないことになります。個人情報取扱事業者は、当該第三者への個人データの提供に際して、「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要はありません。
ただし、当該第三者への個人データの提供にあたっては、個人情報保護法27条の規定による次の①から④のいずれかの方法による必要があります。
- 本人の同意に基づき提供する方法(個人情報保護法27条1項柱書)
- 個人情報保護法27条1項各号に掲げる場合により提供する方法
- オプトアウトにより提供する方法(個人情報保護法27条2項)
- 委託、事業承継または共同利用に伴って提供する方法(個人情報保護法27条5項各号)
「EU加盟国」および「英国」は個人情報保護法28条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定められている
「個人情報保護法28条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」は、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとされています(個人情報保護法施行規則15条1項)。
- 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
- 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること
- 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携および協力が可能であると認められるものであること
- 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
- 前①から④までに定めるもののほか、当該外国を個人情報保護法24条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会および豊かな国民生活の実現に資すると認められるものであること
「個人の権利利益を保護するうえで我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)においては、「EU加盟国」および「英国」が、個人情報保護委員会が定める外国とされています。
「EU」および「英国」の指定は、日・EU間で相互の円滑な個人データ移転を図るために、欧州委員会による日本への十分性認定にあわせて行ったものです。
令和2年改正法では、本提供方法に関しての改正はありません。
- 関連書籍
- 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
- 著者:渡邉 雅之
- 定価:本体 3,200円+税
- 出版社:第一法規
- 発売年月:2021年9月
令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。
からの記事と詳細 ( 日本から「EU加盟国」や「英国」に個人データを提供する際の手続き - BUSINESS LAWYERS(ビジネスロイヤーズ) )
https://ift.tt/Dv7aQ0F
No comments:
Post a Comment