メインコンテンツへ
法務

越境データ移転(国境を越えた個人データの移転)規制に関する説明として、最も適切なものはどれか。

ア.日本の個人情報保護法では、外国への個人データ移転に関する規制は一切存在しない。
イ.個人データを外国の第三者に提供する場合、原則として本人の同意が必要であり、移転先国が十分な保護水準を有すると認定されている場合や適切な安全管理措置を講じている場合は例外が認められる。正解
ウ.EUのGDPRに基づく越境データ移転規制は、EU域内から日本へのデータ移転には適用されず、自由に移転できる。
エ.越境データ移転規制はEUにのみ存在する概念であり、日本・米国・その他の国には同様の規制はない。

解説

越境データ移転は「国境を越えた個人情報の旅」。EUから個人情報を持ち出す場合、目的地が「個人情報を大切にする国か」を確認してから出発するルールがある。日本も認定国として「EU→日本」はOKになっているが、逆の規制も存在する。

なぜ イ が正解か

イが正解。日本の個人情報保護法第28条:外国の第三者への提供は原則として本人の同意が必要。例外:①移転先国が個人情報保護委員会が指定する「十分性認定国」である場合②移転先が日本と同等の安全管理措置(契約・バインディング等)を講じている場合。

なぜ ア は間違いか

日本の個人情報保護法第28条に外国への個人データ移転規制が明記されている。クラウド活用の普及に伴い2022年改正で強化された重要規定。

なぜ ウ は間違いか

EUのGDPRに基づき、EU→日本へのデータ移転についてはEU側の規制(十分性認定等)が適用される。日本は2019年にGDPRの十分性認定を受けたため「EU→日本」は一般的に認められているが、これは規制がないのではなく、クリアしているということ。

なぜ エ は間違いか

越境データ移転規制はEU(GDPR)以外にも、日本・中国(個人情報保護法)・韓国(PIPA)・米国(州ごとのプライバシー法)など世界各国に存在する。グローバルに拡大する規制の流れがある。

出典: AI生成問題(学習用)