K社は日本国内の顧客の個人データを、海外（A国、十分性認定なし）にあるクラウドサービス事業者に保管している。プライバシーポリシーには「国内のサーバーで保管」とのみ記載されていた。この事案への対応として、最も適切なものはどれか。

Question

Accepted Answer

外国にある第三者への提供に該当し、原則として本人同意の取得や所定の情報提供義務が必要であり、プライバシーポリシーの記載と運用実態の不一致も改める必要がある

Answer

海外保管はクラウド事業者の判断であり、K社の責任ではない

Answer

クラウドへの保管は第三者提供ではないため、本人同意は一切不要である

Answer

海外保管であってもA国が経済連携協定を締結していれば、本人同意は不要である

【問200】個人情報保護実務検定3級練習問題｜越境データ移転トラブル