- 2024年4月22日
質問
当社は、外国事業者X社(委託契約の締結により基準適合体制を整備している事業者)に個人データを提供しています。X社はSOC2認証を取得していますが、このような認証の取得を確認することをもって、X社による相当措置の実施の確認を行ったことに代えることはできるでしょうか。
回答
個人データの越境移転要件の一つである基準適合体制の整備とは、個人データの移転先が法第4章2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(相当措置)を継続的に実施するために必要な一定の基準に適合する体制を整備していることをいいます(法28条1項、規則16条)。
令和2年改正により、相当措置の継続的な実施を確保するために必要な措置として、移転元の事業者には、適切かつ合理的な方法により、次の①及び②を定期的に確認(以下「定期的確認」)すること等が新たに義務付けられました(法28条3項、規則18条1項1号)。
① 移転先による相当措置の実施状況
② 相当措置の実施に影響を及ぼすおそれがある移転先の所在国の制度の有無及びその内容
SOC2等の認証を取得している事業者については、当該事業者における個人情報の取扱いの仕組みや運用が一定の水準を満たしていると評価することが可能ですが、、、
