外国へのデータ移転について

個人情報が日本国外の第三者に提供されることはあるの?

あるサービスを利用していて個人情報の提供について同意を求められたとき、とりわけそれが日本国外の第三者の場合、少し不安を感じられるかもしれません。私たち楽天グループも日本国外の事業者に個人情報を提供する場合があります。たとえば、あなたが旅行サイトを利用して海外のホテルを予約したとき、名前などの情報が現地のホテルに提供されます。また、安全なデータ環境を作る目的やより良いサービスをお客様に提供するため、国外企業に業務を委託する場合もあります。いくらサービスを提供するために必要な情報とはいえ、国外でも自分の情報がしっかりと守られているのかとても気になるところです。そこで今回は、私たちがどのようにして国外に提供されるお客様の情報の安全を確保しているのかについて説明していきます。

国外への情報提供はリスクがあるの?

あなたの個人情報が国外に移転された場合でも、移転先となる国の法令が適用され、法令に基づく保護措置が取られます。しかし、国によっては個人情報保護に関する法令が限定的・断片的である場合、情報保護の水準が不十分な場合があります。

こういったリスクを回避するため、2020年に個人情報の保護に関する法律が改正され、日本国外の第三者へ個人情報を提供する際のルールが追加されました。具体的には、あなたの同意に基づいて個人情報を国外の第三者に提供する場合、提供先の国名とその国の個人情報保護に関する法制度などを事前に説明することが必須となりました。たとえば、お客様が旅行サイトで海外のホテルを予約する際、旅行サイトを運営する事業者は、そのホテルの所在国のプライバシーに関する法律をお客様が確認できるようにしなければなりません。そこで私たちは「日本国外への個人情報の提供について」というページを新たに作成しました。このページでは、私たちからの個人情報の提供先となりうるグループ会社一覧や、外国の法制度をまとめた資料が閲覧できます。

国外のグループ会社または第三者に対する個人情報保護に関する取り組みについて

私たちは、お客様の個人情報を国外に提供する場合、個人情報が不適切に取り扱われることがないように以下のような対策をとっています。

<個人情報の提供先が楽天グループの会社である場合>

提供先が楽天グループの会社である場合、私たちはグループ共通で「拘束的企業準則(以下、BCR)」というルールに従って個人情報を提供しています。このルールは、2016年に欧州連合のデータ保護機関に承認されました。これは、個人情報の取り扱いについて、楽天グループがしっかりとお客様のプライバシーを保護していると認められたことを意味します。またイギリスのEU離脱後には、「英国拘束的企業準則(UK BCR)」を申請し、2022年5月にイギリスのデータ保護機関にも承認されました。一方で、世界にはプライバシー保護規制が十分に整備されていない国があります。そのため、私たちは自主的にプライバシー保護基準を設け、そのルールを守ることで、国や地域に関係なく高い水準のコンプライアンスを維持できるように努めています。

<個人情報の提供先が楽天グループの会社ではない場合>

国外にある楽天グループ以外の会社に個人情報を提供する場合、移転先の国や地域の個人情報保護に関する制度を把握するとともに、契約書等を締結し、お客様の個人情報が充分に保護されることを確実にするための措置を行っています。また、私たちは、通信を暗号化したり、アクセス権の制限を設けたりするなど、高い情報セキュリティ水準でお客様の個人情報を取り扱うよう努めています。私たちが行っている安全管理のための措置については、「情報セキュリティの取り組み」でも説明していますので、あわせてご確認ください。

ページのトップへ戻る