改正個人情報保護法24条

改正個人情報保護法24条は，「個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。」と規定している。

「基準」は，個人情報保護委員会規則により定めることとされている。

この「外国」の政府の方針として，当該国の国家主権の及ぶ範囲内の組織に対しては，全ての情報内容の開示・提供を要求することができ，拒む者に対しては刑事罰をもって臨むとされている場合，日本国の「基準」は全て無効化されることが国家法により定められていることになるので，当該外国にある「第三者」それ自体としては「基準」に適合しているように見える場合でも，全体として観察するときは，「基準」に適合しないものとして解釈し，そのように運用しなければ違法行為となると解する。

したがって，日本国の個人情報取扱事業者は，当該外国の組織における個人データの取扱いを個別の検討するだけでは全く足りず，当該外国の国家体制及び法制度全般を検討した上でなければ当該外国にある第三者に対して個人データを提供してはならないという結論以外の結論はあり得ない。

また，仮に上記の結論に反するような「基準」が存在する場合，その「基準」は無効である。この場合の「無効」とは，基準に従わなくてもよいという意味ではなく，「基準」に適合していることを理由に改正個人情報24条所定の簡易な手続の利益を受けることができないということを意味している。

そして，上記の意味で「基準」が無効である場合，当該基準に基づくいかなる適合性認証も自動的に無効となる。