外国法人に個人データを提供する場合には、原則本人の同意が必要となってくるが、受領する法人が個人情報保護委員会の定める基準に適合している場合、または個人情報取扱事業者の義務を遵守する旨の契約を締結することにより本人の同意は不要となってくる。
つまり、外国法人に個人データを提供する場合には安全管理措置を遵守させる契約を結ぶ事が必要になってくるのだ。
では逆に日本法人が海外から個人データの提供を受ける場合はどうなるのだろうか。
<EU加盟国から個人データの提供を受ける場合>
・移転先にもGDPRと同等の取り扱い・管理が要求される
・移転先が処理者(委託先)である場合
→GDPRが要求する取り扱い・管理を定めたDPAという契約を締結する必要がある
<中国・ベトナム>
・中国・・・個人データの新たな法律が施行されれば移転先の安全評価が要求される
・ベトナム・・・中国と同様の制度がある
<シンガポール・マレーシア>
・移転先に国内法を遵守させる事が国外移転の条件
このように、現代においてグローバルに個人データをやりとりするためには、各国に求められている管理体制を整えることが必須事項になってくるだろう。