3.Googleドライブでデータの保管先の国を選択できるか
これは▲なんやけど、米国とEUを選択できます。
「え?それって結局のところ、外国にある第三者への提供では?」
個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、法第28条第1項に従い、次の(1)から(3)までのいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。
「次の(1)から(3)までのいずれかに該当する場合を除き」と書いてますね。
で、(1)から(3)が何かというと、
(1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定める国にある場合(※1)
(2)当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合(※2)
(3)次の①から⑦までのいずれかに該当する場合(法第27条第1項各号関係)
①法令(※3)に基づいて個人データを提供する場合…
(中略)
(※1)規則で定める国とは、平成31年個人情報保護委員会告示第1号に定める国を指す。詳細については、3(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)を参照のこと。
次に掲げる平成三十一年一月二十三日時点における欧州経済領域協定に規定された国
アイスランド、アイルランド、イタリア、英国、エストニア、
(略)
となっており、EUに保管している場合は、「あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。」という点には該当しない、と整理ができそうです。
というか「 上記(1)の場合、当該第三者が所在する国は、法第28条第1項における「外国」に該当しない。」って書いてるな。
「外国」に該当しないってのは日本語的にメチャクチャ違和感はあるが
あと、あくまで個人情報保護法観点での話なので、国特有のリスクは別軸で判断する必要あるかなと思います。