個人情報保護法の改正について　その４

令和２年、３年に行われた個人情報保護法の改正について、超！わかりやすく、

（ただし、わかりやすくするために若干細部を端折って）

説明していくシリーズ、第４回目です。

４回目のテーマは、「外的環境の把握」です。

改正前から、個人情報を持っている事業者は、個人情報が漏えいしたり、滅失したり、毀損したりするのを防止する等、

個人データの安全管理のために必要かつ適切な措置

を講じなければならない、ということになっていました。

それで、今回の改正では、

この「個人データの安全管理のために必要かつ適切な措置」に、

①外国において個人データを取り扱う場合、

②当該外国の個人情報の保護に関する制度等を把握した上で、

③個人データの安全管理のために必要かつ適切な措置を講じること

が追加された、

ということなんですね。

「外国において個人データを取り扱う場合」というのが、具体的にどういうことを指すのかというと、例えば、

・外国にある支店・営業所に個人データを取り扱わせる場合
・外国にある第三者に個人データの取扱いを委託する場合
・外国にある個人情報取扱事業者が、国内にある者に対する物品または役務の提供に関連して、国内にある者を本人とする個人データを取り扱う場合

等が挙げられます。

これだけ見ると、

「ウチは国内にしか営業所はないし、委託先も国内ばかりだから関係ないね」

と思われるかもしれませんが、

・外国にあるクラウドサービス提供事業者が管理するサーバに個人データを保存する場合

例えば、GoogleDriveに個人情報を保管しているような場合がこれに該当しますので、

多くの企業や個人事業主も、けして「関係ない」ということはない、と思います。

該当する場合は、

当該外国の個人情報の保護に関する制度等を把握した上で、

個人データの安全管理のために必要かつ適切な措置を講じる

必要があります。

※繰り返しますが、わかりやすくするために細部を端折って説明していますので、ご注意ください。