◇SH1854◇個人情報保護法第24条に係る個人情報保護法施行規則第11条の改正 池田美奈子(2018/05/23)

未分類
トピックス解説(岩田合同法律事務所)

個人情報保護法第24条に係る個人情報保護法施行規則第11条の改正

岩田合同法律事務所

弁護士 池 田 美奈子

 

 2018年5月9日、「個人情報の保護に関する法律施行規則の一部を改正する規則」(個人情報保護委員会規則第1号)(以下「本委員会規則」という。)が公布・施行された。

 本委員会規則は、外国にある第三者へ個人データを提供する場合の規制について定める個人情報保護法(以下「法」ともいう。)第24条に係る個人情報保護法施行規則(以下「施行規則」という。)を新設するものである。外国への第三者提供のためには、原則として、予め外国にある第三者への提供を認める旨の本人の同意を得る必要があり、その例外の一つが「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」に提供する場合であるところ、本委員会規則により、個人情報保護法の平成27年改正以来、検討課題とされていたこの国内同水準の制度を有する外国の判断基準が整備された[1]。個人データの国際流通が増大する中、この「外国」指定は経済界はじめ各方面から強い関心が寄せられてきた。今次改正により、漸く委員会による指定が現実味を帯びたといえる。

 本委員会規則で新たに新設された施行規則第11条の概要は下表のとおりである。①~⑤の判断基準は具体的に定められており、委員会による判断の透明性が確保されていると評価できよう。

  1. 1 法第24条の「外国」とは、次のいずれにも該当する外国として委員会が定めるものとする。
  1. ① 個人情報保護法に定める個人情報取扱業者に関する規制に相当する法令等があり、当該外国内においてそれらを遵守する態勢が認められること。
  2. ② 我が国の委員会に相当する独立した個人情報保護機関が存在し、かつ当該機関において必要かつ適切な監督を行うための体制が確保されていること。
  3. ③ 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められること。
  4. ④ 個人情報保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められること。
  5. ⑤ ①~④のほか、当該外国を法第24条の「外国」として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められること。
  1. 2 委員会は、「外国」を定める場合において、個人の権利利益を保護するために必要があると認めるときは、提供できる個人データの範囲を制限することその他必要な条件を付することができる。
  1. 3 委員会は、「外国」を定めた場合において、への該当性、又はで付した条件の充足性について確認する必要があると認めるときは、当該外国の制度又は対応状況について必要な調査を行う。
  1. 4 委員会は、「外国」を定めた場合において、の調査の結果などを踏まえ、当該外国がに該当しなくなった又は2の条件を充足しなくなったと認めるときは、「外国」の定めを取り消す。

 委員会が、施行規則第11条1項各号に該当すると認めた具体的な外国の名称は、告示で定め、委員会HPへ掲載することが予定されている。今次改正が日EU間の相互の円滑な個人データ移転の実現を主目的としていることから、指定第1号はEU加盟国と見込まれる。昨年夏の時点では、委員会は、欧州委員会の日本に対する十分性認定に併せて本年前半を目標にEU加盟国の指定を行う可能性を視野に置いており、近い将来、指定がなされるものと思われる。

 EU加盟国が法第24条の「外国」に指定された暁には、日本企業がEUの子会社やEU企業に対して個人データの提供をするに当たり、予め外国にある第三者への提供を認める旨の本人同意を得る必要がなくなることになる。

 ところで、EU一般データ保護規則が本年5月25日に施行されることなどから、昨今は委員会による「外国」指定が注目されがちであるが、法第24条の「外国」に指定されない国にある第三者への提供については、引き続き、従来どおりの対応を要することになる。そこで、以下では、本人の同意取得に代わってしばしば用いられる基準適合体制整備者への第三者提供について、今一度、概説したい。

 外国にある第三者へ個人データを提供するには以下のいずれかの方法によらなければならない。

原則 予め外国にある第三者への提供を認める旨の本人の同意を取得する場合。
例外
  1. ⑴ 法第23条1項各号に掲げる場合[2]
  2. ⑵ 委員会により、国内同水準の体制を有しているとして指定された外国へ提供する場合。
  3. 個人データの取扱いについて、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして委員会規則で定める基準に適合する体制を整備している者(基準適合体制整備者)へ提供する場合。
施行規則第11条の2[3] 具体例
法第24条の委員会規則で定める基準は次のいずれかに該当することとする。  
  1. ① 個人情報取扱事業者と第三者との間で、当該第三者における個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
 契約、又は(グループ会社間の場合は)内規・プライバシーポリシー等において、法第15条~24条、27条~33条及び35条の趣旨に沿った措置を講ずることが担保されていること。
  1. ② 第三者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
 第三者が、APECのCBPRシステムの認証を取得していること[4]

 基準適合体制整備者への第三者提供にあたっては、例えば、日本企業(委託元)が外国企業(委託先)に委託により個人データを提供する場合、契約書で、委託元が委託先による再委託の実施状況を把握することを規定するのみでは必ずしも十分ではなく、実際に、外国企業に対して監査を実施したり、報告書の提出を求めるなど、委託先及び再委託先における個人データの取扱い状況を確認する措置まで行っておくことが望ましい(法第22条の趣旨に沿った措置の実施の確保)。仮にこのような措置が行われないままに、外国企業から更に外国にある第三者に再委託がなされ、再委託先が個人データを漏えいした場合には、元の委託元である日本企業による法違反と判断され得る。

 なお、本稿で紹介した外国にある第三者への個人データの提供に係る規律は、あくまで法第24条の本人同意取得に代わるものであって、別途通常の第三者提供に関する法第23条は適用される。そのため、本人の同意(法第23条1項柱書及び法第24条)を取得せずに、(外国にある)第三者へ情報提供するためには、オプトアウト(法第23条2項)、又は委託・事業承継・共同利用(同条5項各号)等の法第23条所定の要件を満たす必要があることを最後に付言しておく。

以上


[1] 本委員会規則制定の背景については、深沢篤嗣弁護士のトピックス解説(SH1297 日本・EU間における個人データの相互移転枠組み確立に向けた動き 深沢篤嗣(2017/07/21))を参照されたい。

[2] 法令に基づく場合(1号)や人の生命、身体又は財産の保護のために必要である場合であって、本人の同意を得ることが困難であるとき(2号)等の限定された場合。

[3] 本委員会規則による改正前の施行規則第11条。国内同水準の外国に関する規定が今次改正により施行規則第11条として新設されたため、第11条の2に繰り下げられた。

[4] APEC CBPRシステムの詳細は、唐澤新弁護士によるトピックス解説(SH0890 個人情報保護に関する国際的動向について(11月8日個人情報保護委員会決定「国際的な取組について」) 唐澤 新(2016/11/22))及びAPEC CBPRシステムのWebページ(英語)(http://www.cbprs.org/)を参照されたい。なお、本稿執筆時点でのAPEC CBPRシステム参加国は、米国、メキシコ、日本、カナダ及び韓国の5か国、認定された認証機関は2つ(それぞれ米国及び日本の団体)、また認証された事業者は約20足らずである。

 

タイトルとURLをコピーしました