個人情報保護法 2020年改正と実務対応のポイント(5・完)
域外適用及びデータの越境移転に関する改正
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
本年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」(以下「2020年改正法」という)が公布された。現在のところ、施行時期は2022年春~6月頃と見込まれている[1]。
本連載の1回目は個人データに関する個人の権利の在り方に関する改正、2回目は漏えい等報告及び本人通知に関する改正、3回目は適正利用及び公表事項の充実に関する改正、そして4回目はデータ利活用に関する施策の在り方に関する改正について、それぞれ実務対応のポイントと共に概説した。最終回である今回は、域外適用及びデータの域外移転に関する改正と、それに伴う実務対応のポイントを概説する。なお、以下では、現行の個人情報保護法を「法」又は「現行法」といい、2020年改正法による改正後の個人情報保護法を「改正法」という。
1 域外適用の範囲の拡大
改正法は、個人情報保護法の域外適用について、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする(i)個人情報、(ii)当該個人情報として取得されることとなる個人関連情報、又は(iii)当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても適用すると定める(改正法75条)。現行法は域外適用の対象となる条文を明記しているが[2]、改正法は条文を明記しておらず、域外適用の範囲が拡大される。
外国においてこれらの情報を取り扱う事業者においては、以下の点に留意すると共に、今般の改正に関する理解を深め(例えば公表事項の拡充やデータ漏えい時の報告・通知義務等)、法の遵守を一層徹底する必要がある。
- • 今般の改正により新設された個人関連情報及び仮名加工情報も、域外適用の対象に含まれること
- • 個人情報保護委員会による指導及び助言等にとどまらず、新たに、(罰則により担保された)立入検査、報告・資料提出の求め等の対象となり得ること
2 データの越境移転に関する規制の強化
(1) 本人同意を根拠とする越境移転
改正法の下では、本人の同意を根拠として外国にある第三者に個人データを提供しようとする場合には、個人情報取扱事業者は、個人情報保護委員会規則で定めるところにより、あらかじめ、以下の情報を当該本人に提供しなければならない(改正法24条2項)。
- • 当該外国における個人情報の保護に関する制度
- • 当該第三者が講ずる個人情報の保護のための措置
- • その他当該本人に参考となるべき情報
詳細については、規則やガイドラインの改正が待たれるが[3]、国会での審議等によれば、上記1点目の情報としては、当該外国の国名及び個人情報保護制度の概要が念頭に置かれているようである。各国の個人情報保護制度に関する参考情報は、個人情報保護委員会においてとりまとめの上公表される見込みであるものの、仮に、対象国が限定され、また随時最新の情報にアップデートされないものであれば、今後、事業者によっては相応の作業負担が生じる可能性があるため、留意が必要である。また、情報提供の方法(ウェブサイトでの開示、書面の交付等)や提供言語、提供先の国が多数又は未定である場合の取扱いについても、明確化が望まれるところである。
この規定は、個人情報取扱事業者が改正法の施行日以後に改正法24条1項の規定により本人の同意を得る場合について適用される(2020年改正法附則4条1項)。
(2) 体制整備を理由とする越境移転
また、外国にある第三者が法24条1項に定める体制を整備している者であることを理由として個人データを提供した場合には、個人情報取扱事業者は、個人情報保護委員会規則で定めるところにより、以下の対応をとらなければならない(改正法24条3項)。
- • 当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずること
- • 本人の求めに応じて、当該必要な措置に関する情報を当該本人に提供すること
詳細については規則やガイドラインの改正が待たれる。「必要な措置」が、データ移転契約の締結・継続や移転当事者間の共通ポリシー等の策定等を指すのか、それとも継続的な監督等を行うことを指すのかは、現段階では必ずしも明らかでない。
この規定は、個人情報取扱事業者が改正法の施行日以後に個人データを同項に規定する外国にある第三者に提供した場合について適用される(2020年改正法附則4条2項)。
(3) 実務対応のポイント
以上の改正点をふまえると、個人データの越境移転との関連では、企業において、現在行っている越境移転事案や今後予定している事案をリスト化し、その移転の根拠・移転先の国名・契約関係の有無等について把握することが考えられる。企業グループ間の共同利用やデータ処理の委託では、移転先の体制整備を理由として継続的に越境移転を行っている事案が多いと思われるが、そのような事案も含めて洗い出す必要がある。
そのうえで、本人同意に基づく越境移転を行う場合や移転先の体制整備を理由とする越境移転を行う場合には、規則やガイドラインの改正動向に留意しつつ、提供する情報の内容や提供方法について準備を進めていく必要がある。既存の契約書のひな型やウェブサイト上の同意文言等も、見直しが必要になると考えられる。
なお、個人データの越境移転のうち、(i)個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している外国として個人情報保護委員会規則で定める国への提供[4]、及び(ii)法23条1項各号に掲げる場合の提供(法令に基づく場合等)は、今般の改正に伴う変更はない。
3 おわりに
以上、5回の連載を通じて、今般の改正項目のうち企業にとって特に重要と考えられるものに絞って、概要と実務対応を簡潔に説明してきた。各企業において、改正法の概要理解と今後の対応検討の一助として頂ければ幸いである。
なお、今般の改正には、罰則・ペナルティ、認定個人情報保護団体、送達、国際的調和など、本連載で言及していない項目もある[5]。また、今後、規則やガイドラインの改正等により要対応事項の詳細は変動する可能性があるため、引き続き、改正動向等に注目していく必要がある。
以 上
[1] ただし、罰則に関する定めは公布の日から起算して6月を経過した日に施行される(2020年改正法附則1条2項)。
[2] 具体的には、現行法における個人情報取扱事業者の義務(4章1節)は、現行法26条(第三者提供を受ける際の確認等)を除いて域外適用される。現行法17条(適正取得)及び18条2項(直接の書面等による取得)は現行法75条に明記されていないものの、当然に適用されると解されている(個人情報の保護に関するガイドライン(通則編)6-1)。また、指導及び助言(現行法41条)、勧告(同42条1項)等の規定も域外適用される。
[3] 個⼈情報保護委員会2020年6月15日付資料1「個⼈情報の保護に関する法律等の⼀部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について」5頁のロードマップ案によれば、個人情報保護委員会規則の改正は、2021年1月〜2月頃に意見募集がなされ、3月〜5月頃に公布されることが想定されているようである。
[4] 2020年7月1日時点では、EAA及び英国。
[5] それらを含めた現時点における詳細かつ網羅的な実務向け書籍として、岩瀬ひとみ=河合優子=津田麻紀子編著『2020年個人情報保護法改正と実務対応』(商事法務、2020)。