【問135】個人情報保護士 練習問題|外国にある第三者への提供
個人情報保護法 問135/170難易度B(標準)
問題文
外国にある第三者への個人データ提供に関する次の記述のうち、正しいものはどれか。
- 1.外国にある事業者に個人データの取扱いを委託する場合も、法第28条の外国第三者提供の規定が適用される。
- 2.外国にある第三者への提供は、本人同意、基準適合体制、委員会認定国の3つの方法のいずれかによる。
- 3.クラウドサービスを利用する場合は、サーバーが外国にあれば常に外国第三者提供に該当する。
- 4.外国にある第三者への提供の規定は、個人データではなく個人情報全般に適用される。
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
外国にある事業者に個人データの取扱いを委託する場合であっても、当該委託先が法第27条第5項第1号の委託に該当する場合は、「第三者」に該当しません。ただし、外国にある委託先に対しては、法第25条の委託先の監督に加え、安全管理措置の一環として外国の制度等を考慮した適切な措置を講ずる必要があります。
選択肢2 → ✅正解
法第28条では、外国にある第三者への個人データの提供は、本人の同意を得る方法、基準適合体制を整備した第三者への提供、個人情報保護委員会が認定した国にある第三者への提供の3つの方法が定められています。
選択肢3 → ❌誤り
クラウドサービスの利用において、サーバーが外国にあっても、クラウド事業者が個人データを取り扱わない場合(保存のみで内容にアクセスしない場合等)は、外国にある第三者への提供に該当しないとされています。
選択肢4 → ❌誤り
法第28条は「個人データ」の提供について規定しており、個人情報全般ではありません。
背景知識
外国にある第三者への個人データの提供は、本人同意、基準適合体制、委員会認定国の3つのルートがあります。実務上特に重要なのがクラウドサービスの利用です。クラウド事業者が個人データの内容にアクセスせず、単にデータの保管場所を提供するだけの場合は「提供」に該当しないとされています。一方、クラウド事業者がデータの分析や加工を行う場合は「提供」に該当する可能性があり、法第28条の規律が適用されます。
学習アドバイス
外国第三者提供の3つのルートを確実に理解しましょう。特にクラウドサービスの利用が「提供」に該当するか否かの判断基準は実務でも頻出です。
まとめ
- 外国第三者提供は本人同意・基準適合体制・認定国の3ルート
- クラウドサービスは内容へのアクセスの有無で判断
- 委託先は「第三者」に非該当だが安全管理措置は必要