個人情報保護法 越境移転規制の実務対応(上)
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
1 はじめに
個人情報の保護に関する法律(以下「現行法」)の2020年改正法(以下「改正法」)が、2022年4月1日に全面施行される。また、本年3月24日には、改正法の施行令および施行規則(以下「改正規則」)が公布され、5月12日には、デジタル社会の形成を図るための関係法律の整備に関する法律(以下「整備法」)が成立した。改正法及び整備法による変更事項は多岐にわたるが、本稿では、外国に所在する者に対する個人データの移転(いわゆる越境移転規制)について概説する。
なお、整備法の施行後は、本稿記載の条文番号に大幅な変更が生じる見込みであることにご留意いただきたい。
2 現行法における規律
現行法の下で、個人データの越境移転を行う場合、あらかじめ当該越境移転について本人の同意を得ることが原則である(現行法24条)。
当該同意を取得する際には、事業の性質および個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならない。その具体的方法としては、①提供先の国名または地域名を個別に示す方法、②実質的に本人から見て提供先の国名等を特定できる方法、③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法などが含まれ得るとされている[1]。企業におけるデータの取扱いの透明性を確保し、データ主体に対して適切な情報提供を行うという観点からは、一般的に、十分かつ分かりやすい説明が求められているところである。
また、以下の場合は本人の同意を得ずに越境移転を行うことが許容される。
このうち②は、具体的には、移転元と移転先との間で契約やグループ内規によって第4章第1節の規定の趣旨に沿った措置の実施を確保する場合のほか、移転元または移転先がAPECのCBPR認証を受けている場合が該当する(規則11条の2)。実務上、越境移転先がEEAや英国に所在しない場合、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)の記載等を参照しつつ、適切な内容の契約または規程を用いて、本人同意を得ずに越境移転を行うことがある。
本人の同意を得る場合と同様、企業におけるデータの取扱いの透明性を確保し、データ主体に対して適切な情報提供を行うという観点からは、十分かつ分かりやすい説明が求められるものの、①②③の場合は、本人に情報提供を行うか・行うとしてどのような説明を行うかは、各企業により大きく異なっている。
3 改正法における規律
改正法の下では、本人の同意に基づく越境移転のケースおよび上記2②(体制整備者への越境移転)のケースの場合に、説明事項の追加等の変更が生じる。
⑴ 本人同意に基づく越境移転
改正法では、本人同意に基づいて外国にある第三者への個人データの提供を行う場合、個人情報取扱事業者は、本人同意の取得時に、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報保護のための措置その他本人に参考となるべき事項を当該本人に提供しなければならない(改正法24条2項)。
これを受けた改正規則11条の3第2項は、本人に提供するべき情報として以下のとおり列挙している。
|
このうち、①が特定できない場合には、①②に代えて、①が特定できない旨および理由ならびに上記①に代わる参考情報があれば当該情報を提供する(改正規則11条の3第3項)。
また、上記③が提供できない場合には、③に代えて、③を提供できない旨および理由について情報提供する必要がある(同4項)。
移転先の外国が複数存在する場合には、その全てについて情報提供が必要である[5]。②の「適切かつ合理的な方法」は、提供先に照会する方法や、日本又は外国の行政機関等が公表している情報を参照する方法、あるいは個人情報保護委員会が公表予定の参考情報を参照する方法も許容される[6]。企業によっては、公表情報を参照する方法だけでは全ての国をカバーできず、提供先に個別に照会が必要となり得ることに留意が必要であろう。また、②③は、改正法との本質的な差異を本人が認識できる程度の内容・粒度を想定しているようであるが[7]、ガイドライン等で具体例が示されることが待たれる。
また、情報提供は、本人が確実に認識できると考えられる適切な方法で行う必要があり、その例として、ウェブサイトに必要な情報を掲載し、本人に閲覧させることで情報提供をする方法や、「外国における個人情報の保護に関する制度に関する情報」を国ごとにわかりやすく整理して記載したウェブサイトが存在する場合に、当該ウェブサイトのURLを本人に提供する方法が挙げられる[8]。
以上のルールは、個⼈情報取扱事業者が改正法の施⾏⽇以後に改正法24条1項の規定により本⼈の同意を得る場合について適⽤される(2020年6月12日に公布された「個⼈情報の保護に関する法律等の⼀部を改正する法律」附則4条1項)。
(下)につづく
[1] 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A 9-2
[2] 2021年5月12日時点。
[3] 個人データの取扱いについて、現行法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への越境移転。
[4] 具体的には、(i)法令に基づく場合、(ii)人の生命・身体・財産の保護のために必要がある場合であって本人の同意を得ることが困難であるとき、(iii)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき、または(iv)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることが困難であるとき。
[5] 改正規則等に関する意見募集結果(以下「パブコメ回答」)272番
[6] パブコメ回答291番、292番
[7] パブコメ回答267番等
[8] パブコメ回答274番、276番等
(かわい・ゆうこ)
西村あさひ法律事務所パートナー弁護士。2006年弁護士登録、2014年ニューヨーク州弁護士登録。M&A、ジョイントベンチャー、各国データ関連法制への対応、電子商取引・ライセンス等、クロスボーダー案件を中心に数多く担当。日本の個人情報保護法制については、M&Aに伴うデータの取扱い、医療・遺伝子関連データの取扱い、データの域外移転等、多岐に渡る問題点について、多くのアドバイスを継続的に提供。