当社は米国法人ですが、米国で運営しているサーバーで日本人向けのホームページを作成し、日本人から個人情報を収集しています。当社は関連会社に日本法人があるのですが、米国法人から日本法人に、収集した個人情報を提供する場合があります。このような行為は個人情報保護法に抵触しますか。
個人情報保護法は日本の法律ですので、日本国外で行われる行為については、規制の対象となりません。日本人向けに作成されたホームページは規制の必要性は高いのですが、法人とサーバーの所在が日本国外であれば、法律の執行が不可能です。 米国法人から日本法人に個人情報が提供される場合、個人情報保護法の第三者提供の規制は、あくまでも提供する側に課されます。そのため提供する側が米国法人であれば、やはり規制が不可能です。 もっとも個人情報保護法は17条で「偽りその他不正の手段」による個人情報の取得を禁止しています。米国法人を介することにより事実上個人情報保護法の規制を免れた形で、個人情報の利用目的や、第三者提供への同意を得ることなく取得された情報については、これを取得すると、「偽りその他不正の手段」によって取得したと判断される可能性があります。そのため日本法人における個人情報保護法の遵守の確実を期するためには、米国法人においても、個人情報保護法を実質的には遵守した取扱が必要となるでしょう。