【個人情報保護法】外国への第三者提供について【Pマーク】

2022年施行の改正個人情報保護法より前に改正された個人情報保護法で追加された内容ですが
当社にも多く質問が来るようなのでこちらにまとめて記載をしておきます。
個人情報保護委員会QA、ガイドライン、JISQ15001:2017を元に作成しております。

第三者提供に関するPマークと個人情報保護法の考え方の違い

改正法施行以前

【Pマーク】
第三者提供時は本人同意が必要

【個人情報保護法】
第三者提供時は本人通知または公表が必要

改正法施行後

【Pマーク】
第三者提供時は本人同意が必要

【個人情報保護法】
第三者提供時は本人同意が必要

改正法施行後は同一基準となります。新たに制定された外国への第三者提供に関する対応も基本的には同一の基準が求められるようになっています。

外国への第三者提供の際の義務

本人からの同意の取得

　第三者提供を行う場合、本人からの同意が必要となります。同意文面には「提供先」「提供の目的」「提供の手段」「提供される個人データの項目」「本人からの停止などの請求方法について」の項目が必要となります。

第三者提供に関わる記録の作成

　・個人データを第三者に提供した時の記録は、次の情報を含む必要があります。

　　1）当該個人データを提供した年月日

　　2）当該第三者の氏名又は名称

　　3）その他の法令等で定められた事項

　・本人の同意があった場合も、記録作成は必要となります。

　・作成した記録は、法令等で定められた期間保存しなければなりません。

第三者提供を受ける際の記録の作成

第三者提供を受ける際に確認する内容は以下の 通りとなります。

・提供元である第三者の氏名又は名称及び住所並びに法人などについては代表者の氏名

・提供元である第三者による当該個人データの取得の経緯

個人データを第三者から提供を受けた時の記録は以下の通りとなります

　　1）当該個人データを提供した年月日

　　2）当該第三者の氏名又は名称

　　3）その他の法令等で定められた事項

外国への第三者提供の例外

以下のような場合の提供は同意・記録作成の義務の例外となります。

・委託の場合（同意は必要となります。）※

・合併その他の事由による事業の承継に伴って個人データが提供される場合

・同一法人内の場合

※クラウド事業者等、サーバーが外国にある場合「サーバ運営事業者が個人情報を直接取り扱わない場合」は外国への第三者提供に該当しません。（https://www.ppc.go.jp/personalinfo/faq/2009_APPI_QA/#q9-5）

＿個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するＱ＆Ａ」より