個人情報の国外移転に関する規則の改正発表

(サウジアラビア)

リヤド発

2024年09月06日

サウジアラビアのサウジデータ・AI庁(SDAIA)は9月1日、個人情報の国外移転に関する規則PDFファイル(外部サイトへ、新しいウィンドウで開きます)の改正を発表した。個人情報やその所有者のプライバシーが国外で適切な水準で保護されるための規定と手続きを明確にすることを目的としている。

今回の改正の重要なポイントとして、新規則第4条「情報管理者が適切なレベルの保護および個人情報の最小限の移転の順守要件を免除される場合」で、情報管理者は個人情報保護法第29条2項で規定されている個人情報を国外移転、または開示するために必要な条件のうち、次の2つ、またはそのいずれかが免除される場合があることが明らかになった。

  1. 個人情報の移転先、または開示先の国の個人情報の保護水準は、最低限、サウジアラビアの法令により保証された保護水準と同等でなければならない。
  2. 国外移転、または開示される個人情報は必要最小限の情報に限定される。

免除を受けるには「a.標準的な契約条項」「b.拘束力のある共通規則」「c.認定証明書」の個人情報保護措置を実施する必要がある。また、情報管理者は第4条2項で規定されている次の場合には、それぞれの状況ごとに適切な保護措置を講じることを規定している。

  1. 個人情報の国外移転、または開示が公的機関の間で行われる場合
  2. 国外移転、または開示が非定期的、または限定的な期間であり、限定されたデータ数の場合
  3. 個人データの国外移転、または開示が中央業務(Central operation)の遂行に必要、かつ管理者が多国籍企業グループの一部である場合
  4. データ対象者の期待に反したり、データ対象者の利益に抵触したりしない方法で、 データ対象者に直接サービスや利益を提供するために国外移転、または開示が行われる場合個人データの国外移転、または開示が科学的調査、研究を実施するために必要な場合

順守義務が免除されるために必要となる標準的な契約条項PDFファイル(外部サイトへ、新しいウィンドウで開きます)や共通規則などが盛り込まれたガイドラインPDFファイル(外部サイトへ、新しいウィンドウで開きます)も同時に発表された。

第3条「国外の個人情報保護水準の評価手順、基準」では、個人情報の保護やデータ主体の権利を保証する規則の有無などの基準に基づいて選定された国や国際機関のリスト(注)を公式ウェブサイト上に公開する。リストは4年ごと、または必要に応じて見直す。

その他、個人情報の国外移転、または開示の目的、個人情報の事後移転、順守義務免除の取り消し、個人情報の国外移転、または開示に関するリスク評価などの条項で規則が構成されている。

(注)9月5日時点で英語版リストは未公表。

(平田若菜)

(サウジアラビア)

ビジネス短信 22d9cfe9fcbfacb8