【問137】個人情報保護士 練習問題|外国にある第三者への提供
個人情報保護法 問137/170難易度C(難しい)
問題文
外国にある第三者への個人データ提供に関する次の事例のうち、法第28条の規律が適用されるものはどれか。
- 1.EU域内の子会社に個人データの処理を委託し、子会社がデータの内容にアクセスして処理を行う場合
- 2.米国のクラウドサービスを利用してデータを保存するが、クラウド事業者は暗号化されたデータの内容にアクセスしない場合
- 3.外国に所在する日本法人の海外支店に個人データを移転する場合
- 4.個人情報保護委員会が認定した国にある第三者に提供する場合
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
EU域内の子会社は別法人であるため「第三者」に該当し、かつ外国に所在するため法第28条の規律が適用されます。委託に伴う提供であっても、子会社がデータの内容にアクセスする場合は「提供」に該当します。ただし、基準適合体制等により対応可能です。
選択肢2 → ❌適用されない
クラウド事業者が暗号化されたデータの内容にアクセスしない場合は、個人データの「提供」に該当しないとされており、法第28条は適用されません。
選択肢3 → ❌適用されない
日本法人の海外支店は同一法人内の拠点であるため「第三者」に該当しません。法第28条は適用されません。ただし、安全管理措置として適切な管理は必要です。
選択肢4 → ❌適用されない
個人情報保護委員会が認定した国にある第三者への提供は、法第28条第1項の適用除外とされ、国内の第三者提供と同様のルールが適用されます。
背景知識
法第28条の適用範囲を正確に理解することは実務上極めて重要です。子会社は別法人であるため第三者に該当しますが、海外支店は同一法人内であるため第三者に該当しません。クラウドサービスについては、データの内容にアクセスするか否かが判断基準となります。なお、委員会認定国(EU・英国)への提供は第28条の適用除外であり、国内と同様のルールとなります。これらの区別は個人情報保護法の実務において頻繁に問題となるポイントです。
学習アドバイス
子会社と支店の違い、クラウドサービスの「提供」該当性、認定国の適用除外など、法第28条の適用範囲の判断基準を事例で確認しましょう。
まとめ
- 外国の子会社への提供は法第28条が適用される
- 内容にアクセスしないクラウド利用は「提供」非該当
- 同一法人の海外支店は「第三者」に非該当