外国にある第三者への個人データ提供

お客様が外国証券又は預託証券の取引をする際には、発行者又は取引所の所在国等の法令等を遵守するため、又はお客様の配当金、利子及び収益分配金等の果実を円滑に受領いただくために、当該国等の求め若しくは所定の手続きに応じて、個人データの第三者提供を行わなければならない場面があります。
このような場面において、提供先となる外国の候補は以下のとおりです（お取引いただく商品により異なります。）。各国制度等に関する、より詳細な情報は、個人情報保護委員会のウェブサイトをご参照ください。

以下、個人情報保護委員会ウェブサイトより一部を抜粋（令和4年3月4日時点）

個人情報の保護に関する制度の有無	包括的な法令は存在しない。 個別の分野に適用される法令のうち代表的なものとして、以下の 法令が存在する。 ■電子通信プライバシー法（Electronic Communications Privacy Act of 1986） 施行状況：1986年10月21日施行 対象機関：個人データの電子的保存1を行う公的部門（地方自治体を含む。）及び民間部門 対象情報：「電子通信」（有線又は電子システムによって全部又は部分的に送信される、あらゆる性質の記号、信号、文章、画像、音声、データ、又は情報の伝達） ■グラム・リーチ・ブライリー法（Gramm Leach Bliley Act） 施行状況：1999年11月12日施行 対象機関：金融サービス業に「実質的に従事する（significantly engaged）」民間の金融機関 対象情報：「非公開個人情報（Non-Public Personal Information）」（金融サービスの提供を通じて顧客から収集されるあらゆる情報） ■医療保険の携行性と責任に関する法律（Health Insurance Portability and Accounting Act） 施行状況：1996年8月21日施行 対象機関：公的機関（地方自治体を含む。）及び民間機関 対象情報：「保護されるべき健康情報（Protected Health Information）」（健康状態、医療の提供、医療費の支払いに関連する情報で、個人に結びつけることが可能なもの）
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：2012年7月25日参加
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	APECのCBPRシステム参加エコノミーである場合、民間部門については、外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられる。 公的部門に関し、OECDプライバシーガイドライン8原則に対応する公的部門の主体の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 上記HIPAAに一部規定されている。 ②データ内容の原則 該当する規定は不見当。 ③目的明確化の原則 該当する規定は不見当。 ④利用制限の原則 上記ECPA及びHIPAAに一部規定されている。 ⑤安全保護の原則 上記HIPAAに一部規定されている。 ⑥公開の原則 該当する規定は不見当。 ⑦個人参加の原則 上記HIPAAに一部規定されている。 ⑧責任の原則 該当する規定は不見当。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	－

個人情報の保護に関する制度の有無	包括的な法令として、以下の法令が存在する。 ■中華人民共和国個人情報保護法（中华人民共和国个人信息保护法） 施行状況：2021年11月1日施行 対象機関：公的部門（地方人民政府を含む。）及び民間部門 対象情報：電子その他の方法により記録される、既に識別され、又は識別可能な自然人に関する各種情報（匿名化処理後の情報を除く。）
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：なし
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 上記法令に規定されている。 ②データ内容の原則 同上 ③目的明確化の原則 同上 ④利用制限の原則 同上 ⑤安全保護の原則 同上 ⑥公開の原則 同上 ⑦個人参加の原則 同上 ⑧責任の原則 同上
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	個人情報保護法、中華人民共和国サイバーセキュリティ法（中华人民共和国网络安全法）（以下「サイバーセキュリティ法」という。）及び中華人民共和国データセキュリティ法（中华人民共和国数据安全法）（以下「データセキュリティ法」という。）に、個人情報の域内保存義務に係る制度（個人情報の域外移転を制約することにより実質的に域内保存義務を課す制度を含む。）が存在する。 これらの法令においては、域外への情報の移転に際して、当局による安全評価に合格することが要件とされている場合があり、事業者が本人からの開示請求に十分に対応できないおそれがある。なお、これらの法令に基づく域内保存義務は、外国の事業者からの移転により取得した個人情報には適用されない場合がある。 ■事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの ①サイバーセキュリティ法 ネットワーク運営者に対し、公安機関や国家安全機関による国の安全の維持・保護及び犯罪捜査に係る活動に対する技術的支援及び協力を義務付け。 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。 アクセスの実施に関する制限及び手続 法令において特定された目的（又は当該目的と矛盾しない正当な目的）の達成に必要な範囲でのアクセス実施 アクセスの実施に関する独立した機関からの承認 取得された情報の取扱いの制限・安全管理 アクセスの実施に関する透明性の確保

個人情報の保護に関する制度の有無	包括的な法令として、以下の法令が存在する。 ■個人データ（プライバシー）条例例（Personal Data (Privacy) Ordinance） 施行状況：1996年12月20日施行 対象機関：公的部門及び民間部門の「データ利用者（data user）」（個人データに関して、単独若しくは共同で、又は他者とともに、データの収集、保持、処理又は利用を管理する者（person）） 対象情報：①生存する個人に直接又は間接に関連し、②そこから個人の同一性（identity of individual）を直接又は間接に確認することが現実的に可能であり、③当該データへのアクセス又は処理が現実的に可能な様式の「データ（data）」
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：なし
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 上記法令に規定されている。 ②データ内容の原則 同上 ③目的明確化の原則 同上 ④利用制限の原則 同上 ⑤安全保護の原則 同上 ⑥公開の原則 同上 ⑦個人参加の原則 同上 ⑧責任の原則 同上
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	■事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの ①香港国家安全維持法（The Law of the People’s Republic of China on Safeguarding National Security in the Hong Kong Special Administrative Region）（NSL） 香港特別行政区（「香港」政府）警察の国家安全維持部門による、国家の安全を害 する犯罪事案を処理する場合の、質問への回答及び資料提出要請。 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、 以下の点に関する規定が存在しない。 取得された情報の取扱いの制限・安全管理 アクセスの実施に関する透明性の確保 違法なアクセスにより権利等を侵害された場合の救済

個人情報の保護に関する制度の有無	包括的な法令として、以下の法令が存在する。 ■個人情報保護法（PersonalDataProtectionAct（No.26of2012）） ■公共セクター（ガバナンス）法（PublicSector(Governance)Act（No.5of2018））
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：2018年2月参加
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	APECのCBPRシステム参加エコノミーである場合、民間部門については、外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられる。 公的部門に関し、OECDプライバシーガイドライン8原則に対応する公的部門の主体の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 該当する規定は不見当。 ②データ内容の原則 同上 ③目的明確化の原則 同上 ④利用制限の原則 同上 ⑤安全保護の原則 同上 ⑥公開の原則 同上 ⑦個人参加の原則 同上 ⑧責任の原則 同上
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	■事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの ①刑事訴訟法（Criminal Procedure Code） 一定の職位以上の警察官は、捜査、取調べ、裁判又は刑事訴訟法に基づく手続を執行するために必要と認める場合には、情報を提出し、又は当該情報へのアクセスを提供するよう求める「提出命令（written order）」を発出することができる。 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。 アクセスの実施に関する独立した機関からの承認 取得された情報の取扱いの制限・安全管理 アクセスの実施に関する透明性の確保 アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み

個人情報の保護に関する制度の有無	包括的な法令として、以下の法令が存在する。 ■個人情報保護法（Personal Data Protection Act） 施行状況：2019年5月28日一部施行、2022年6月1日全面施行 対象機関：公的部門及び民間部門 対象情報：自然人に関する情報で直接又は間接を問わず当該自然人を特定することを可能とする情報
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：なし
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 上記法令に規定されている。 ②データ内容の原則 同上 ③目的明確化の原則 同上 ④利用制限の原則 同上 ⑤安全保護の原則 同上 ⑥公開の原則 同上 ⑦個人参加の原則 同上 ⑧責任の原則 該当する規定は不見当。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	■事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの ①特別事件捜査法（Special Case Investigation Act） 特別事件捜査官は、国家安全保障、公序良俗等に深刻な影響を与える一定の犯罪の捜査のため、私人に対して情報提供等を命令することができる。 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。 アクセスの実施に関する制限 アクセスの実施に関する透明性の確保 アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み ②コンピュータ犯罪法（Computer Crimes Act） デジタル経済社会省が任命する捜査官は、コンピュータ関連犯罪の捜査のため、サービスプロバイダに対してユーザーデータの提出等を命令することができる。 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。 アクセスの実施に関する制限 取得された情報の取扱いの制限・安全管理 アクセスの実施に関する透明性の確保 アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み ③サイバーセキュリティ法（Cybersecurity Act） サイバーセキュリティ規制委員会は、サイバー脅威（コンピュータ等を用いて行われデータに損害を与える行為等）によるリスクに関する予防又は対応等のため、コンピュータに保存されたデータに強制的にアクセスすること等ができる。 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。 アクセスの実施に関する制限 取得された情報の取扱いの制限・安全管理 アクセスの実施に関する透明性の確保 アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み

個人情報の保護に関する制度の有無	包括的な法令として、以下の法令が存在する。 ■個人データ保護法（Personal Data Protection Act 2010） 施行状況：2013年11月15日施行 対象機関：民間部門 対象情報：①商業的取引（commercial transactions）に関するものであること、②自動的に処理される機械・装置により、その全部又は一部が処理又は記録されるものであること、③当該情報が、直接又は間接に、当該情報又は情報利用者の保有するその他の情報から識別される人物（data subject）に関するものであること、の全ての条件を満たすもの。ただし、信用報告機関法（Credit Reporting Agencies Act）に基づき信用報告機関が行う信用報告ビジネスの目的で処理される情報は含まれない。
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：なし
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 上記法令に一部規定されている。 ②データ内容の原則 同上 ③目的明確化の原則 同上 ④利用制限の原則 同上 ⑤安全保護の原則 同上 ⑥公開の原則 同上 ⑦個人参加の原則 同上 ⑧責任の原則 該当する規定は不見当。
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	－

個人情報の保護に関する制度の有無	包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。 ■電子情報及び電子取引に関する2008年法律第11号（Law No. 11 of 2008 on Electronic Information and Transaction） ■電子システム及び電子取引の実施に関する2019年政令第71号（Government Regulation No. 71 of 2019 on the Administration of Electronic Systems and Transactions） ■電子システムにおける個人情報に関する2016年通信情報省規則第20号（Minister of Communications and Informatics Regulation No. 20 of 2016 on the Protection of Personal Data in an Electronic System） ■民間電子システム運営者に関する2020年通信情報省規則第5号（Minister of Communications and Informatics Regulation No. 5 of 2020 on Private Electronic System Operators） ■2020 年規則を改正する 2021 年通信情報省規則第 10 号（Minister of Communications and Informatics Regulation No. 10 of 2021） 対象機関：公的部門及び民間部門の電子システム運営者 対象情報：電子システムを通じたものか否かに関わらず、単独又は他の情報と共同して、直接又は間接的に個人を識別できる情報
個人情報の保護に関する制度についての指標となり得る情報	EUの十分性認定※1：なし APECのCBPRシステム※2：なし
OECDプライバシーガイドライン※3 8原則に対応する事業者等の義務又は本人の権利	OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。 ①収集制限の原則 上記法令に一部規定されている。 ②データ内容の原則 同上 ③目的明確化の原則 同上 ④利用制限の原則 該当する規定は不見当。 ⑤安全保護の原則 上記法令に一部規定されている。 ⑥公開の原則 同上 ⑦個人参加の原則 同上 ⑧責任の原則 同上
その他本人の権利利益に重大な影響を及ぼす可能性のある制度	■事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの ①2016年規則、2019年政令及び2020年規則 政府は、行政監督目的又は刑事法執行目的で、電子システム運営者に対し、電子情報等へのアクセスを求めることができる場合がある。 上記の各法令に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。 アクセスの実施に関する透明性の確保 アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み

※1：EUの十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定しているEU（EU加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン）の個人情報の保護に関する制度であるGDPR又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EUの十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
※2：APECのCBPRシステム参加の前提として、APECのプライバシーフレームワークに準拠した法令を有していること、及びCBPR認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じくAPECのCBPRシステムに参加しているエコノミーにおいては、APECのプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APECのCBPRシステム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APECのCBPRシステムの対象は、民間部門である。
※3：OECDプライバシーガイドライン8原則は、OECD加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。

なお、将来にわたりお客様にお取引いただく金融商品は未定であり、また、どの外国当局・保管機関等から、お客様の個人データの提供要請を受けるかを予め網羅的に把握することはできないため、本ページに記載のない外国の当局・保管機関等に対してお客様の個人データが提供される可能性があります。
事後的に提供先の第三者を特定できた場合には、お客様は当該外国の名称、当該外国の個人情報の保護に関する制度に関する情報、当該第三者が講ずる個人情報の保護のための措置に関する情報について、当社に情報提供をご請求いただけます。