パーソナルデータの提供・委託先の個人情報保護制度に関する情報

このページでは、パーソナルデータの提供・委託先の個人情報保護制度に関する情報についてご説明しています。

パーソナルデータの提供・委託先の個人情報保護制度に関する情報

※「欧州委員会から十分性認定を受けた国または地域」「APEC CBPR参加国」に将来含まれることになる国または地域については、お客様から同意をいただく時点で特定できないため情報提供ができません。情報提供が可能になりましたら本ページにてお知らせいたします。

※Yahoo! JAPANのサービスを円滑に提供するため、お客様から事前に包括的な同意をいただく必要があることから、提供・委託先の第三者は同意取得時点で具体的に特定できませんが、提供・委託先の第三者が所在する国または地域の個人情報保護制度は、概ね我が国と同等の個人情報の保護が期待できるものです。

イギリスおよびEEA構成国

個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会により定められています。

欧州委員会から十分性認定を受けた国または地域

GDPR第45条に基づく十分性認定の取得国については、個人情報保護委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定しているEUの個人情報の保護に関する制度であるGDPRに基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国であることから、概ね我が国と同等の個人情報の保護が期待できます。

  • アルゼンチン
    1. 個人情報の保護に関する制度の有無
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:あり
      • CBPRシステム:加盟せず
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 十分性認定を取得しているため、省略
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:見当たらない
  • イスラエル
    1. 個人情報の保護に関する制度の有無
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:あり
      • CBPRシステム:加盟せず
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 十分性認定を取得しているため、省略
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
        下記③のとおり、裁判所の令状なくして事業者が保有する個人情報について政府による収集が可能となる制度が存在する。
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:イスラエル公安庁は、政府による命令・許可の下で、裁判所の令状なしに、自らの任務を遂行するために必要な情報を収集することができる
  • ウルグアイ
    1. 個人情報の保護に関する制度の有無
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:あり
      • CBPRシステム:加盟せず
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 十分性認定を取得しているため、省略
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
        下記③のとおり、裁判所の令状なくして事業者が保有する個人情報について政府による収集が可能となる制度が存在する。
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:裁判所の令状なくして個人データの開示を要求できるのは、税務調査目的で税務当局が要求する場合のみである。また、理論的には、データ保護当局(URCDP)がデータベースへのアクセスを要求することもできる。
  • カナダ
  • スイス連邦
  • 大韓民国

    ※大韓民国は2021年12月17日にEUの十分性認定を取得

  • ニュージランド

APEC CBPR参加国

APECのCBPRシステムの加盟国においては、その加盟の前提であるAPECのプライバシーフレームワークに準拠した法令と当該法令を執行する機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できます。

  • アメリカ合衆国(連邦、イリノイ州、カリフォルニア州、ニューヨーク州)
  • アメリカ合衆国(コロラド州)

    1. 個人情報の保護に関する制度の有無
      • なし。但し、個人情報の保護に関する法令として、Colorado Privacy Actが2021年7月7日に成立し、2023年7月1日より施行される予定
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:なし
      • CBPRシステム:加盟(連邦のみ)
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 現在は、個人情報の保護に関する制度が存在せず、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利を根拠付ける規定は存在しない。
      • また、Colorado Privacy Actには、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利のうち、「データ内容の原則」の一部である利用目的の達成に必要な範囲内における正確性の確保に対応する事業者の義務、及び、「責任の原則」に対応する事業者の義務が規定されていない。
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
        下記③のとおり、裁判所の令状なくして事業者が保有する個人情報について政府による収集が可能となる制度が存在する。
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:刑事手続において大陪審が利用される場合やサイバー犯罪の捜査において、裁判所の令状なくして個人データへのアクセスを認めるColorado Revised Statutesが存在
  • アメリカ合衆国(バージニア州)
    1. 個人情報の保護に関する制度の有無
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:なし
      • CBPRシステム:加盟(連邦のみ)
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 現在は、個人情報の保護に関する制度が存在せず、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利を根拠付ける規定は存在しない。
      • また、Virginia Consumer Data Protection Actには、OECDプライバシーガイドライン8原則に対応する事業者の義務及び本人の権利のうち、「データ内容の原則」の一部である利用目的の達成に必要な範囲内における正確性の確保に対応する事業者の義務、及び、「責任の原則」に対応する事業者の義務が規定されていない。
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
        下記③のとおり、裁判所の令状なくして事業者が保有する個人情報について政府による収集が可能となる制度が存在する。
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:刑事手続において大陪審が利用される場合においてアクセスを認めるCode of Virginiaが存在
  • アメリカ合衆国(バーモント州)
    1. 個人情報の保護に関する制度の有無
      • なし
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:なし
      • CBPRシステム:加盟(連邦のみ)
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 個人情報の保護に関する制度が存在せず、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利を根拠付ける規定は存在しない。
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:見当たらない
  • アメリカ合衆国(マサチューセッツ州)
    1. 個人情報の保護に関する制度の有無
      • なし
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:なし
      • CBPRシステム:加盟(連邦のみ)
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 個人情報の保護に関する制度が存在せず、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利を根拠付ける規定は存在しない。
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
        下記③のとおり、裁判所の令状なくして事業者が保有する個人情報について政府による収集が可能となる制度が存在する。
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:刑事手続において大陪審が利用される場合や法令違反の捜査において、裁判所の令状なくして個人データへのアクセスを認めるMassachusetts Declaration of Rights及びMassachusetts General Lawsが存在
  • アメリカ合衆国(ワシントン州)
    1. 個人情報の保護に関する制度の有無
      • なし
    2. 個人情報の保護に関する制度についての指標となり得る情報の存在
      • 十分性認定:なし
      • CBPRシステム:加盟(連邦のみ)
    3. OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在
      • 個人情報の保護に関する制度が存在せず、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利を根拠付ける規定は存在しない。
    4. その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
        下記③のとおり、裁判所の令状なくして事業者が保有する個人情報について政府による収集が可能となる制度が存在する。
      • ①国内での保有・保管義務:見当たらない
      • ②域外移転の制約による実質的な国内保持義務:見当たらない
      • ③ガバメントアクセス:刑事手続において大陪審が利用される場合や刑事事件の捜査において、裁判所の令状なくして個人データへのアクセスを認めるRevised Code of Washingtonが存在
  • オーストラリア連邦
  • カナダ
  • シンガポール共和国
  • 大韓民国

    ※大韓民国は2021年12月17日にEUの十分性認定を取得

  • 台湾
  • フィリピン共和国
  • メキシコ合衆国