改正個人情報保護法が、平成29年5月30日より全面施行されます。
改正前の個人情報保護法では、5,000件を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした。
しかし、改正個人情報保護法では、保有している個人情報が5,000件以下の事業者であっても、適用の対象になります。
これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。
以下では、改正事項のひとつである「外国事業者への第三者提供」について、ご説明します。
外国事業者への第三者提供
改正前の個人情報保護法は、外国にある第三者に対する個人データを提供することについて、特段の規定を設けていませんでした。
改正前の個人情報保護法では、第三者への個人データの提供に際して、あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはならないとされています。例外として、法令で定める場合等には、本人の事前の同意がなくても個人データの第三者への提供が認められます。
当該第三者は日本国内の者か外国にある者かを問わずに適用されていました。
しかし、外国の当該第三者が日本の個人情報保護と比べて不十分な取扱いを行なっている場合には、本人の権利利益が侵害される可能性があります。
そこで、改正法では、新たに規制を設けています。
改正法により、個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならなくなりました。
なお、法令に基づく場合等の個人情報保護法23条1項各号に掲げる場合は事前の同意がなくても第三者への提供が可能です。
但し、
- 個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める外国の第三者に提供する場合
又は
- 個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者に提供する場合
には、個人情報保護法23条が適用され、国内・海外を問わず第三者への提供について同意を得られればよいことになります。
これにより、外国にある第三者に個人データを提供する可能性がある企業は、新たな対応が必要となります。
改正個人情報保護法で知っておきたいことはこちら!
・改正個人情報保護法「個人情報の定義」が明確化。企業に求められる対応は?
・改正個人情報保護法「小規模事業者も対象に」5,000件要件の撤廃