【改正個人情報保護法】外国所在のSaaS利用に対する越境移転規制の適用

質問

当社は、外国の事業者X社が提供するSaaS（サーバも外国に所在）を利用し、個人データに基づくマーケティング分析を行っています。当社のSaaS利用に伴う個人データ移転に、個人情報保護法の越境移転規制が適用されますか。

回答

貴社のSaaS利用に伴う個人データ移転が、個人情報保護法（以下、「法」）の越境移転規制の適用を受けるか、すなわち、法24条1項の「外国にある第三者への提供」に該当するか否かは、「X社が移転を受けた個人データを取り扱うか否か」で判断されます（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A）。

ご質問によると、X社は、貴社から提供を受けた個人データを取り扱っている（分析）ので、SaaS利用に伴う個人データ移転は「外国にある第三者への提供」に該当します。このため、貴社において、越境移転規制対応（本人の同意取得、同意取得時の情報提供等）が必要となります．．．

コンテンツをご覧になるにはログインが必要です

ログイン