個人情報保護に関する国際的動向について
(11月8日個人情報保護委員会決定「国際的な取組について」)
岩田合同法律事務所
弁護士 唐 澤 新
平成28年11月8日、個人情報保護委員会(以下「個人情報保護委」という。)は、米国及びEUとの間でなされた、個人情報保護及び円滑なデータ移転を図る枠組みの構築に関する対話の経緯について公表した。
我が国において個人情報保護制度を論ずるにあたっては、諸外国、特に米国及びEUとの関係を検討することが不可欠である。なぜなら、昭和55年(1980年)のOECD理事会勧告「プライバシー保護と個人データの国際流通についてのガイドライン」及びOECD8原則が各国において個人情報保護に関する法整備が進むきっかけとなり、我が国の個人情報保護法もOECD8原則を具体化した内容であること、また、グローバル化が進んだ近年においては、海外との間のデータ移転の必要性が飛躍的に高まり、安全かつ円滑なデータ移転ができるような枠組みを構築する必要があるからである。以下では、個人情報保護委の諸外国との昨今の取組みを米国、EUの順に解説する。
まず、米国との間では、引き続き定期的な会合を続けていくこと及び緊密に連携することの重要性について認識を共有するとともに、APEC越境プライバシールール(Cross Border Privacy Rule System. 以下「CBPRシステム」という。)に関する周知活動及び参加促進を協力して行っていくことが確認された。CBPRシステムとは、APEC域内において国境を越えて流通する個人情報に対する消費者や事業者、行政機関における信用を構築するシステムであり、システムに参加する事業者は、APECプライバシーフレームワークを満たす個人情報保護方針を構築し、アカウンタビリティ・エージェント(認証機関)より認証を受ける必要がある(末尾図参照)[1]。事業者がCBPRシステムに参加する意義として以下の二つが挙げられる。
すなわち、米国には分野を横断する全般的なプライバシー保護法はなく、個別分野ごとの規制や民間の自主規制が基本となる。そうした事情もあって、後述するEUの規制とは異なり、国外へのデータ移転について一般的に定める法令等の規定は見受けられず、米国から日本へのデータ移転について許容される要件は不明確な状況にあるところ、CBPRシステムを利用することで、少なくともAPECプライバシー原則への適合性を確保することができる。また、我が国の改正個人情報保護法[2]では、外国にある第三者に個人情報を提供する場合には、原則として、本人の同意を得なければならないとされるが(改正個人情報保護法24条)、外国にある第三者がCBPRシステムの認証を受けている場合にはこの例外とする旨を規則)、ガイドライン等に規定することが検討されている(「個人情報の保護に関する法律施行規則」11条2号参照)[3]。
次に、EUとの間では、個人データの保護を図りながら越境移転を促進するため協力対話を続けていくことが確認され、これを踏まえ、個人情報保護委として、本年採択されたEUデータ保護規則の運用に向けた動きに注視していく旨示されている。
現行のEUデータ保護指令及び平成30 年(2018年)5月25 日適用予定のEUデータ保護規則では、いずれも、個人データのEU域外への移転は、十分な保護の水準が確保されていると認定(いわゆる「十分性認定」。)された国等[4]に対する場合を除き、原則として禁止される。個人情報保護委がEUとの間で対話を進める目的の一つとして、我が国が十分性認定を受けることが挙げられると思われるが、かかる認定を受ける時期について具体的な目途は明らかでない[5]。したがって、EUから個人データを移転するにあたっては、事業者は、依然として、本人から明確な同意を得る、拘束的企業準則を申請し、監督機関の許可を得る又は標準契約条項(SCC)を利用する必要がある(なお、実務的には標準契約条項(SCC)を用いるのが一般的であると思われる。)。
上記のとおり、個人情報の越境移転にかかる法整備については解決すべき課題が山積みの状況である。引き続き、個人情報保護委による米国及びEUとの協議を注視したい。
(経済産業省HP掲載資料より)
以 上
[2] 平成27年9月9日公布。公布日から起算して2年以内に全面施行される。
[3] 個人情報保護委 「外国にある第三者に対する個人データの提供に関する規則の方向性について」
[4] スイス、カナダ、アルゼンチン、ガーンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド。
[5]イスラエル、ウルグアイ及びニュージーランドは申請から取得まで3年以上かかったとされる(個人情報保護委「個⼈情報保護委員会の国際的な取組について」)。