個人情報保護法 越境移転規制の実務対応(下)
西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 河 合 優 子
3 改正法における規律
⑵ 体制整備要件に基づく越境移転
また、改正法では、体制整備要件に基づき個人データを外国にある第三者に提供した場合、個人情報取扱事業者は、①当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに(改正法24条3項、改正規則11条の4第1項)、②本人の求めに応じて、遅滞なく、当該必要な措置に関する情報を当該本人に提供しなければならない(改正法24条3項、改正規則11条の4第3項)。
①は、本人の権利利益の保護の観点から、移転元には、越境移転の後も提供先による個人データの適正な取扱いを継続的に確保する責務があることを明確化するものである。なお、②については、情報提供により当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、その全部又は一部を提供しないことができる(同項但書)。
①および②の詳細は次のとおりである。
|
このうち、上記①(a)・②(c)の定期的な確認とは、年に1回程度、提供先から書面報告を受けること等が想定されているようである[9]。
また、上記②(a)の例としては、移転元と移転先の間の契約が挙げられる[10]。その場合、上記②(b)として、特定した利用目的の範囲内で個人データを取り扱う旨、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託の禁止、個人データの第三者提供の禁止等が当該委託契約に定められているということが「相当措置の概要」となると思われる。
以上のルールは、個⼈情報取扱事業者が改正法の施⾏⽇以後に個人データを改正法24条3項に規定する外国にある第三者に提供した場合について適⽤される(前掲・附則4条2項)。
4 企業における対応
企業における実務対応の出発点は、越境移転が生じている個人データの全容を把握することである。企業グループ間の共同利⽤やデータ処理の委託では、移転先の体制整備を理由として継続的に越境移転を⾏っている事案が多いと思われるが、そのような事案も含めて洗い出す必要がある。
その際、個人データの項目・移転先・国名・移転の根拠・契約関係等を確認することに加え、第三者提供記録の作成が必要な越境移転については当該記録の作成状況も確認することが望ましい。改正法の下では、第三者提供記録が原則として開示請求の対象となるためである。
また、当然ながら、越境移転の前提として、第三者提供に関する規律(現行法・改正法23条)も遵守する必要がある。仮に、現時点で、現行法の第三者提供規制や越境移転規制に抵触していることが判明した場合は、改正法の施行を待たず、速やかに問題の解消を図るべきであろう。
本人同意または体制整備要件を根拠に越境移転を行うケースについては、同意取得の手続・フローや社内規程、関連する契約書等を見直すと共に、移転先の国の法制度の把握等を行う必要がある。また、改正法の施行後も、継続的に越境移転規制を遵守できるよう、提供先の定期的な状況把握の手順等、社内の体制を整える必要がある。
以 上
(かわい・ゆうこ)
西村あさひ法律事務所パートナー弁護士。2006年弁護士登録、2014年ニューヨーク州弁護士登録。M&A、ジョイントベンチャー、各国データ関連法制への対応、電子商取引・ライセンス等、クロスボーダー案件を中心に数多く担当。日本の個人情報保護法制については、M&Aに伴うデータの取扱い、医療・遺伝子関連データの取扱い、データの域外移転等、多岐に渡る問題点について、多くのアドバイスを継続的に提供。