【問133】個人情報保護士 練習問題|外国にある第三者への提供
個人情報保護法 問133/170難易度B(標準)
問題文
基準適合体制を整備した外国にある第三者への個人データの提供に関する次の記述のうち、誤っているものはどれか。
- 1.基準適合体制には、APECのCBPRシステムの認証を取得している場合が含まれる。
- 2.基準適合体制による提供の場合、提供元は提供先の個人データの取扱状況を定期的に確認する義務がある。
- 3.基準適合体制が整備されていれば、提供先が所在する国の個人情報保護制度は一切考慮する必要がない。
- 4.基準適合体制には、提供元と提供先の間で個人データの取扱いに関する契約を締結している場合が含まれる。
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ✅正しい
APECのCBPR(越境プライバシールール)システムの認証を取得していることは、基準適合体制の一つとして認められています(施行規則第16条)。
選択肢2 → ✅正しい
令和4年改正により、法第28条第3項で、基準適合体制による提供を行う場合、提供元は提供先における個人データの取扱状況を定期的に確認し、問題が発見された場合には必要な措置を講じる義務が新設されました。
選択肢3 → ❌誤り(正解)
基準適合体制が整備されていても、提供先の所在国の個人情報保護制度が提供先の体制に影響を与える可能性があるため、当該国の制度を考慮する必要があります。令和4年改正により、本人の求めに応じて関連情報を提供する義務も設けられています。
選択肢4 → ✅正しい
提供元と提供先の間で個人データの取扱いに関する適切な契約を締結していることは、基準適合体制の一つとして認められています。
背景知識
基準適合体制とは、外国にある第三者が個人情報の適正な取扱いを確保するために必要な措置を講じていることを意味します。具体的には、提供元との間の契約、グループ企業間の内部規律、APECのCBPRシステムの認証等が該当します。令和4年改正では、基準適合体制による提供を行う事業者に対し、提供先の取扱状況の定期的確認、問題発覚時の対応、本人への情報提供等の義務が追加されました。外国の制度も含めた総合的な管理が求められています。
学習アドバイス
基準適合体制の具体例(契約、内部規律、CBPR)と、令和4年改正で追加された義務(定期確認、本人への情報提供)をセットで覚えましょう。
まとめ
- 基準適合体制には契約、内部規律、CBPR認証等がある
- 提供先の取扱状況の定期的確認義務が令和4年改正で追加
- 提供先所在国の制度も考慮が必要