個人情報を取り扱うにあたり、外国事業者に個人データを提供したり業務委託をする場合や、外国事業者のクラウドサービスを利用する場合、自社の従業員が外国に居住している場合など、個人情報の取扱いに外国事業者が関係したり、外国での取扱いがある場合は、外国にある第三者への提供に関する規制（個人情報保護法（以下「法」といいます。）28条）対応や、安全管理措置としての外的環境の把握（法23条）などを行わなければならないこととされております。
本稿では、第三者提供に関する規制（法27条）、外国にある第三者への提供規制（法28条）及び外的環境の把握（法23条）の違いや関係を整理しながら、それぞれの内容について解説します。

＜目次＞
1.個人情報の取扱いに外国事業者等が関係する場合の概要
2.個人データを「提供」しているか
3.法28条に基づく対応が必要となる場合
(1)「外国にある第三者」に提供する場合
(2)提供先がEEAに規定された国又は英国にある者でない場合
(3)法27条1項各号に該当しない場合
(4)法28条に基づく対応が必要な場合
4.同意と情報提供義務
5.基準適合体制と情報提供義務
(1)基準適合体制の整備
(2)法16条～40条までの規定に相当する措置の継続的な実施を確保するために必要な措置
(3)(2)に関する情報提供
6.外的環境の把握
7.再委託の場合
(1)再委託の場合にも法28条に基づく対応が必要か
(2)再委託先における個人データの取扱いは委託元にとっての「外国において個人データを取り扱う」に当たるか
8.事例

1. 個人情報の取扱いに外国事業者等が関係する場合の概要

第三者提供に関する規制（法27条）と外国にある第三者への提供規制（法28条）の適用の関係は、第三者の性質によって以下のようになります。

また、各条項の適用関係の検討手順をチャートにすると以下のようになります。

法27条と法28条は、法27条1項各号に該当する場合は法28条に基づく同意は不要となったり、法28条に基づく同意を取得する場合は法27条が適用されないなど、互いに関連します。したがって、法27条と法28条は、どのような根拠で個人データを提供するか一体的に検討するとわかりやすいと思われます。
他方、安全管理措置としての外的環境の把握が必要となるか否かは、個人データを提供しているか否か、提供先の第三者が国内にあるか外国にあるかに関係なく、検討する必要があります。

2. 個人データを「提供」しているか

法28条及び法27条が適用されるのは、個人データを第三者に提供する場合ですので、事業者が自ら外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある「第三者への提供」には当たりません。
また、外国にある事業者が、外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する事業者が、そのサーバに保存された「個人データを取り扱わないこととなっている場合」は、外国にある「第三者への提供」には当たらないこととされております（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A12-3）。例えば、クラウドストレージサービスを利用して、アメリカにある事業者が、管理・運営する北米リージョンのサーバに個人データを保存している場合などが想定されます。
「個人データを取り扱わないこととなっている場合」とは、①契約条項によって外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、②適切にアクセス制御を行っている場合等と考えられています（Q&A7-53）。
したがって、クラウドサービスの利用規約を確認し、クラウドサービス提供事業者が個人データを取り扱わないことが定められており、アクセス制御が行われていることが確認できる場合には、法28条も法27条も適用されないこととなります。

3. 法28条に基づく対応が必要となる場合

(1)「外国にある第三者」に提供する場合

法28条が適用されるのは、「外国」にある第三者に個人データを提供する場合です。ただし、後述のとおりEEAに規定された国又は英国は、法28条の「外国」には含まれません。
典型的には、①のように、A社が、外国に所在するB社に個人データを提供する場合です。
他方、②のように、提供先が外国法人であっても、日本にある子会社に提供する場合は、「外国にある」第三者ではないため、法28条は適用されません。
また、「第三者」とは、提供元の事業者と本人以外の者のことをいいます。したがって、③のように、一つの法人格の事業者の東京支店からニューヨーク支店に個人データを提供する場合、「第三者」への提供に当たりませんので、法28条は適用されません。

④のように外国に本店がある法人であっても、日本国内に事務所を設置したり、事業活動を行っているなど、日本国内で個人情報データベース等を事業の用に供している場合は、「外国にある」第三者には当たらず、法28条は適用されません。
さらに、⑤のように、B社は一つの法人格ですから、B社内で東京支店からNY本店に個人データを提供することは、「第三者」への提供には当たらず、法28条は適用されません。

なお、域外適用（法171条）を受ける事業者に、個人データを提供する場合も、法28条の適用があり得ます。例えば、シンガポールのホテル事業者が、日本の消費者に対しシンガポールの観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本にある旅行会社から日本の消費者の個人データを提供する場合を考えます。シンガポールのホテル事業者は「外国にある第三者」ですので、日本にある旅行会社は法27条と法28条について対応を検討する必要があります。また、シンガポールのホテル事業者には、日本の個人情報保護法が適用されます（さらに、シンガポールのホテル事業者は外国で個人データを取り扱うことになるため、安全管理措置として後述の外的環境の把握を行う必要があります。）。

(2)提供先がEEAに規定された国又は英国にある者でない場合

個人データをEEAに規定された国（※）又は英国に提供する場合は、「外国」ではないとされ、法28条は適用されません。
したがって、法27条についてのみ対応すればよいことになります。

※該当する国については、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等（平成三十一年個人情報保護委員会告示第一号）をご参照ください。

(3)法27条1項各号に該当しない場合

個人データの第三者提供が法27条1項各号に該当する場合（※）は、外国にある第三者に提供するために法28条に基づく同意を取得する必要はありません。
例えば、海外の遠隔地で海外旅行保険の契約者に保険事故が発生し緊急の対応を要する際に、保険者が委託をしている現地のクレームエージェントに情報提供を行う場合は、法27条1項2号に該当し、本人の同意を取得することなく、個人データの第三者提供を行うことができます。

※法27条1項
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）。
(6)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。）。
(7)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

(4)法28条に基づく対応が必要な場合

(1)～(3)に当たらない場合に、外国にある第三者に個人データを提供するためには、①本人の同意を取得するか、②提供先について基準適合体制を整備する必要があります。

4. 同意と情報提供義務

外国にある第三者に個人データを提供する方法の一つは、同意を取得することです（法28条1項）。法28条1項に基づく同意を取得した場合は、法27条が適用されません（※1）。
この同意を取得しようとする場合は、あらかじめ以下の情報を本人に提供する必要があります（規則17条2項）。

①当該外国の名称
②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
③当該第三者が講ずる個人情報の保護のための措置に関する情報

つまり、提供先の第三者がある外国の法制度を調査し、その法制度が一定の水準に達していない場合は、提供先の第三者がとる対応について説明をすることが求められています。
情報提供の具体例として以下のような文言を示すことが考えられます。

当社は、お客様に同意いただいた場合に限り、下記の外国にある事業者に個人情報を提供する場合がございます。
・韓国、ニュージーランド……①
提供先の外国における個人情報の保護に関する制度に関する情報は、個人情報保護委員会HPに掲載されている「外国における個人情報の保護に関する制度等の調査」をご覧ください。……②
提供先の第三者は、当該外国の個人情報の保護に関する制度を遵守しています。……③

②については、個人情報保護委員会が諸外国・地域の法制度に関する情報を「外国における個人情報の保護に関する制度等の調査」として公表しています。これに掲載されている国については、このWebページを参照させることが考えられます（※2）。
③は、提供先の第三者がOECDプライバシーガイドライン8原則（※3）に対応する措置を全て講じているか、講じていない場合はどれを講じていないのかを記載します。
まず②で情報提供した、当該外国の法制度において「OECDプライバシーガイドライン8原則に対応する事業等の義務又は本人の権利」が定められているかを確認します。8原則が全て定められている場合は、提供先の第三者が法令を遵守していることが確認できれば、「OECDプライバシーガイドライン8原則に対応する措置を全て講じている」とすれば足ります。
OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利が定められていない場合は、提供先の事業者が自主的に定められていない事項について対応しているかを確認します。特段の対応がなかった場合は、対応されていない事項について記載します。

※1　例えば、外国にある事業者に個人データを提供する際に、法27条の根拠は共同利用で、法28条の根拠は同意、ということは起こり得ません。
※2　当事務所では、個人情報保護員会が調査を行っていない国・地域について、当該外国の個人情報保護法その他の個人情報の保護に関する制度について調査を行っております（外国の個人情報の保護に関する制度調査）。
※3　OECDプライバシーガイドライン8原則とは、①収集制限の原則、②データ内容の原則、③目的明確化の原則、④利用制限の原則、⑤安全保護の原則、⑥公開の原則、⑦個人参加の原則、⑧責任の原則のことです。

5. 基準適合体制と情報提供義務

基準適合体制を整備している外国にある第三者に対して個人データを提供するための要件は、以下の３つです。

①規則第16条に定める基準に適合する体制（基準適合体制）を整備すること
②法16条～40条までの規定に相当する措置の継続的な実施を確保するために必要な措置
③②に関する情報提供

(1)基準適合体制の整備

ア      基準適合体制とは

基準適合体制とは、外国にある第三者が法16条～40条までの規定に相当する措置をとることが確保されている状況のことをいいますが、具体的には以下の方法が想定されます（規則16条）。

①個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法16条～40条までの規定の趣旨に沿った措置の実施が確保されている
　例）
　・外国にある事業者に個人データの取扱いを委託する場合の委託契約により措置を規定する場合
　・企業グループ内で個人データを移転する場合に、グループポリシーを締結する場合
　・提供した個人データが提供先にとって個人情報に該当せず、提供先がそのデータを個人情報に復元しないことが定められている場合（Q&A12-8）
②個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること 例）APEC CBPRシステムの認証を取得している場合

上記に加え、法16条～40条までの規定に相当する措置が実施されることを確保するために必要な措置と、情報提供を行うことが義務付けられています。以下では、それぞれについて解説します。

イ      法16条～40条までの規定に相当する措置の実施（委託契約の締結など）

法16条～40条までの規定に相当する措置を実施したといえるためには、ア①で示したの例のように、委託契約やグループポリシーの締結と、提供元事業者での対応を組み合わせることが考えられます。提供先の外国にある事業者が、法16条～40条までの規定に相当する措置をとっている状態になるようにする必要がありますが、外国にある事業者に日本の個人情報保護法に沿った対応を取ってもらうことは容易ではないと思われます。そこで、提供元事業者で対応できることについては、提供元事業者で対応することが考えられます。
以下では、ガイドライン（外国にある第三者への提供編）4-2において例示されている、①日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合と、②日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合の対応事項をもとにした、実務上考えられる対応は以下のとおりです。特に、委託契約や、グループポリシーに規定する内容は、オレンジで示しています。

(2)法16条～40条までの規定に相当する措置の継続的な実施を確保するために必要な措置

相当措置の継続的な実施を確保するために必要な措置としては以下の２つを行わなければなりません（法28条3項、規則18条1項）。

①相当措置の実施状況と、相当措置の実施に影響を及ぼすおそれのある当該外国の制度の確認
②相当措置の実施に支障が生じたときは、必要かつ適切な措置を講じ、相当措置の実施の確保が困難となったときは、個人データの提供を停止すること

①の相当措置の実施状況は、委託契約やグループポリシーにより基準適合体制を整備した場合は、当該規定の遵守状況を確認することとなります。例えば、書面により報告を受ける方法や、口頭による確認などが考えられ、必ずしも立入検査を行うことまでは求められていません。また、提供元事業者のグループ企業が、現地にある場合には、グループ企業に、提供先の第三者を訪問させたり、提供先の第三者から書面の提出を受けて、措置の実施状況を確認し、グループ企業が提供元事業者に書面で報告することでもよいとされています（Q&A12-18）。
相当措置の実施状況の確認方法については、委託契約やグループポリシーに盛り込んでおくことが考えられます。
相当措置の実施に影響を及ぼすおそれのある当該外国の制度としては、いわゆるガバメントアクセスやデータローカライゼーションに関する規定が想定されています。この外国制度の調査も、個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等の調査」を活用することが考えられます。

(3)(2)に関する情報提供

個人情報取扱事業者は、本人の求めに応じて、以下の1～7の情報を提供しなければなりません（法28条3項、規則18条3項）。

上記の情報提供は、電子メールで本人に送付したり、ホームページに掲載し本人に閲覧させることなどが考えられます。ただし、同意に関する情報提供がプライバシーポリシーに掲載することで行われていることが散見されるのに対し、基準適合体制に関する情報提供をプライバシーポリシー等に掲載することで行っている例は多くないと思われます。

6. 外的環境の把握

「外国において個人データを取り扱う」場合、安全管理措置の一環として、当該外国の個人情報の保護に関する制度を把握し、把握した内容に応じて安全管理措置を実施していることを、プライバシーポリシー等に記載しなければなりません（法23条、法32条1項4号、政令10条1号）。
法27条を委託+法28条を基準適合体制で対応した場合は、外的環境の把握にも対応しなければなりません。また、個人データを提供していない場合でも、外的環境の把握が必要かどうかを検討する必要があります。
「外国において個人データを取り扱う」に該当するのは以下の場合が考えられます。

①個人情報取扱事業者が、外国にある支店・営業所に個人データを取り扱わせる場合（Q&A10-22）
②外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合（Q&A10-23）
③外国にある第三者が提供するクラウドサービスを利用する場合（Q&A10-25）
④外国にあるサーバに個人データを保存している場合（Q&A10-25）
⑤個人情報取扱事業者が、外国にある第三者に個人データの取扱いを委託する場合（Q&A10-22）
⑥委託先の従業者が外国において個人データを取り扱う場合（個人情報保護委員会「データマッピングツールキット（別紙３：外国において個人データを取り扱う場合のチェックリスト）」）
（例えば、A国にある委託先の従業者がB国で個人データを取り扱う場合は、A国だけでなく、B国においても個人データを取り扱っていることになる。）
⑦委託先が外国にある第三者が提供するクラウドサービスを利用する場合（同上）
⑧委託先が外国にあるサーバに個人データを保存している場合（同上）
⑨再委託先が外国にある事業者の場合（Q&A10-24）

具体的に想定される事例と、その場合のプライバシーポリシーの記載例は以下のとおりです。

（事例）
α社は、A国の事業者が提供するクラウドストレージサービスを利用し、そのサーバもA国にあります。α社はB国に支店があり、B国支店の従業員は、A国のサーバに保存された個人データを閲覧しています。
α社は、C国に所在するβ社に個人データの取扱いを委託しています。β社は、A国の事業者が提供するクラウドストレージサービスを利用し、そのサーバはD国にあります。β社の従業員には、E国に居住する者がおり、D国のサーバに保存されたα社の個人データを分析しています。

（プラバシーポリシーの記載例）
当社は、以下の国で個人データを取り扱っており、同国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。
・A国、B国、C国、D国、E国

7. 再委託の場合

(1)再委託の場合にも法28条に基づく対応が必要か

委託先が外国にある再委託先に個人データを提供する場合、基本的には法28条に基づく（又は相当する）対応が必要になると考えられます。
まず、日本国内にある委託先が、外国にある再委託先に個人データを提供する場合で、委託先と再委託先の間の契約等により基準適合体制が整備されている場合は、基準適合体制に関する情報提供義務は委託先に課されるとされています（Q&A12-16）。したがって、少なくとも、委託により提供した個人データに氏名等が含まれており、委託先にとっても個人データである場合には、外国にある再委託先に個人データを提供する場合の法28条に基づく対応は、委託先に義務付けられると考えられます。
外国にある事業者に個人データの取扱いを委託する場合は、法28条は基準適合体制を整備することで対応することが多いと思われます。外国にある委託先が、外国にある再委託先に個人データを提供する場合は、委託先が法28条に基づく（又は相当する）対応を取らなければならないこととなります。委託先と再委託先が同じ外国にある場合も、委託先は、法28条に基づく（又は相当する）対応を取らなければなりません。
また、委託先が日本国内にある場合も、外国にある場合も、委託元は委託先に対する安全管理措置や、基準適合体制の継続的な実施を確保するための措置として、委託先が法28条に従って再委託を行っているか確認する必要があります。
委託先が、EEA規定国又は英国にある事業者の場合で、外国にある再委託先に個人データを提供するとき、委託先と再委託先間の契約等により基準適合体制が整備されている場合も、基準適合体制に関する情報提供義務は委託先に課されると考えられます（Q&A12-16）。

(2)再委託先における個人データの取扱いは委託元にとっての「外国において個人データを取り扱う」に当たるか

外国にある事業者に個人データの取扱いを再委託した場合、委託元は、委託先及び再委託先を通じて、外国において個人データを取り扱うこととなるとされています（Q&A10-24）。
その他、日本にある事業者から、A国に所在する事業者（※1）、さらにB国の事業者が管理するB国に所在するサーバへと移転した場合の、B国サーバへの移転時の対応の要否と、提供元にとって「外国において個人データを取り扱う」国は以下の表のとおり整理できます。

※1 A国に所在する事業者は個人データを取り扱っているものとします。
※ここでは、提供先は提供元から受領する個人データ以外の個人データを取り扱わないことを前提としています。

8. 事例

以下では、2つの事例と考えられる対応を検討します。

事例１
X社は、日本国内にいくつかのグループ会社をもっていたが、新たにA国にあるY社とグループ会社になることになった。
X社では、従業員の入社時に、従業員情報をグループ会社で共有することについての同意を取得しているが、今回A国のY社とも従業員情報を共有したいと考えている。

X社は、グループ会社に対する第三者提供の同意（法27条）は取得できています。他方、外国にある第三者への提供にかかる同意（法28条）を取得するためには、4で述べた一定の情報をあらかじめ本人に提供しなくてはなりません。X社では、従業員の入社時にそのような情報は提供していなかったため、外国にある第三者への提供にかかる同意は取得されていないことになります。
そこで、Y社に従業員情報を提供するには、①従業員から改めて同意を取得するか、②Y社について基準適合体制を整備することが考えられます。
①については、X社の従業員数が少なかったり、イントラネットなどにより同意を容易に取得できるシステムがある等の事情があれば、有効な手段になり得ます（4参照）。
他方、同意を取得することが困難であったり、従業員管理の観点から同意のなかった従業員の情報をグループ会社に共有しないわけにはいかないということであれば、②グループポリシーを作成することで、Y社について基準適合体制を整備することも考えられます。この場合、法27条は同意、法28条は基準適合体制により個人データを提供していることとなります（5参照）。
なお、いずれの場合であっても、X社は、Y社に従業員情報を提供することで、「外国において個人データを取り扱う」ことにはなりません。

事例２
X社は、日本にあるY社に発注管理システムの開発を委託している。Y社は、オフショア開発をすることとし、B国にあるZ社に再委託を行った。Y社及びB国のZ社は、データ移行や運用テストのために、X社の日本国内のサーバに保存されている従業員や取引先担当者の個人データを取り扱う場合がある。

X社からY社への個人データの提供は、法27条5項1号の委託に伴う提供として整理することができます。
そして、Y社からZ社への提供は、外国にあるZ社への個人データの提供ですので、法28条に基づく対応が必要となります。提供する個人データの性質を踏まえると、本人の同意を取得することは困難ですので、Z社について基準適合体制を整備することで対応することが考えられます。
そこで、Y社とZ社間でデータ移転契約を締結させ、基準適合体制の継続的な実施の確保に必要な確認や、情報提供はY社に行わせることとしました（5、7参照）。
この場合であっても、X社は委託先であるY社に対する監督義務は負っているため（法23条）、Y社が法28条に基づきZ社に対し適切な措置を行っているか監督しなければならないこととなります。
また、X社は、委託先、再委託先を通じて、B国において個人データを取り扱っていることとなりますので、安全管理措置義務として「外的環境の把握」を行う必要があります（法23条）。さらに、保有個人データにかかる事項の公表義務がありますので（法32条1項4号、政令10条1号）、プライバシーポリシーに「外的環境の把握」について記載しました（6参照）。

※なお、運用テスト等のために個人データを取り扱わざるを得ない場合であっても、安全管理措置の観点からは一定のマスキング等を行っておくことが望ましいでしょう。

関連記事

特集記事「外国の個人情報の保護に関する制度調査」