■新審査基準への対応に向けて


 今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」
の「必須対応項目」の一つである、外国にある第三者への提供の制限(A.3.4.2.8.1
について、ご説明します。

=======================================

<(A.3.4.2.8.1)外国にある第三者への提供の制限>

組織は、法令等の定めに基づき、外国にある第三者に個人データを提供する場合
には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なけれ
ばならない。(以下省略)

=======================================

この要求事項は、平成29530日に施行された改正個人情報保護法に基づき、本人が
認識することなく、本人の個人情報が外国に渡ることを抑制するために新設されました。

 

上記「本人の同意」を得る際には、本人が同意に係わる判断をするために、

・提供先の国又は地域名を個別に示す

 (例:米国、EU加盟国 等)

・実質的に本人からみて提供先の国名等を特定できるようにする

  (例:本人が日本の旅行会社に外国旅行を申し込んだ場合に、旅行会社が現地の
 各宿泊先に本人の情報を提供する旨を記載する 等)


ことが求められます。

 

なお、「外国にある第三者への提供」については、日本国内では本人の同意を得ること
を必要としない、「委託」「事業承継」「共同利用」のケースにおいても、原則として
適用されますので、ご留意ください。

 

※特定の条件を満たす外国の事業者が運営するサービスを利用する際等、一部適用除外
されるケースもありますので、詳細は個人情報保護委員会発行の『「個人情報の保護
に関する法律についてのガイドライン」及び「個人データの漏洩等の事案が発生した
場合等の対応について」に関するQ&A』をご確認くださいませ。

 

プライバシーマーク取得事業者においては、上記を踏まえて、


①「A.3.4.2.8.1 外国にある第三者への提供の制限」
に関する内部規程の作成
本人への同意取得書面の整備


を実施する必要があります。

※GDPR(EU一般データ保護規則)が先月、平成30年5月25日付けで完全施行
 されています。いわゆる、EU諸国の個人情報保護法が強化されたのですが、対応して
 いない場合の罰則が非常に大きい(上限2,000万ユーロ≒約25億円)ので、EU諸国に
 事業所をもたれていたり、EU諸国のユーザーへサービス提供されている(通販含む)
 事業者様は、早々に対応する必要がありますので、ご注意くださいませ。

今後も、毎月ポイントを絞って解説致します。