個人情報が「海外のサーバーにある」ことを利用者はどうとらえるべきか

日本で運営されているサービスの個人データが「海外のサーバー」にあることを、利用者としてはどう捉えるべきでしょうか。

少し古い(2014年)資料ですが、一般社団法人 電子情報技術産業協会「IT サービス海外展開における留意点」を参考にしてみましょう。

この資料によると、日本法上においては、個人データを国外に移転させることそのものは規制がなく、個人データを「同一法人内で本店から支店に移動させる場合」であれば、規制を受けない、ということになるようです。

これを踏まえて個人情報保護委員会 「個人情報の保護に関する法律に基づく行政上の対応について」を確認すると、以下の通りです。

⑵ 法第 24 条の外国にある第三者への提供の制限
○「基準適合体制」については、一部改善を要する事項はあるものの、基準適合体制を整備するための措置が概ね講じられていた。
○「本人の同意」については、プライバシーポリシーにおいて、利用者の個人情報の利用目的(サービスの提供・改善、コンテンツの開発・改善、不正利用防止等)及び業務委託先の外国の第三者へ提供することが明記されており、利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い。

と記載されており、LINE社の個人情報の外国にある第三者への提供においては、社内体制・利用者向けの表示ともに、「改善は必要であるものの、大きな過失はない」旨が認定されていました。