日本の個人情報保護法における外国にある第三者への個人データの提供方法

今回の記事では、個人情報保護法の外国にある第三者に個人データを提供する際の規制を解説します。

規制の概要

2003年の個人情報保護法（以下、「法」）制定時には、外国にある第三者への個人データの提供方法には、日本国内にある第三者への提供の場合（法23条）と異なる規律はありませんでした。

その後、2015年に行われた改正（以下、「2015年改正」）により、外国にある第三者への個人データの提供の要件が厳格化されました（法24条）。

外国にある第三者に個人データを提供する場合には、オプトアウトの方法（法23条2項）によることができず、外国にある第三者への提供について、明示的な本人の同意が必要となったのです（法24条1項）。

ただし、日本法令に基づくなど、例外的に本人の同意を必要としない場合があることは、日本国内にある第三者への提供の場合と同じです。

2015年改正は2017年5月30日に施行されましたが、いわゆる3年ごとの見直しに基づき、2020年にも改正が行われました（以下、「2020年改正」）。2020年改正では、外国にある第三者への個人データ提供時に、移転先事業者における個人情報の取り扱い情報提供の充実が求められました（法24条2項）。

具体的には、個人データ提供者からの同意取得時に、

①提供先の所在国名
②適切かつ合理的な方法で確認された当該国の個人情報保護制度
③提供先が講ずる措置（提供先のプライバシーポリシー等）

についての情報提供が求められます。

2020年改正は、2022年4月1日に施行される予定ですので、外国にある第三者への個人データの提供がある企業は、施行に向けた対策が求められます。

以下では、法24条１項が適用される「外国にある第三者」の定義を確認します。

「外国にある第三者」の意義

「外国」とは、日本国外のことを指します。

「第三者」であるか否かについて、法人においては、法人格の違いによって区別します。したがって、自社グループの海外法人でも法人格が違うので、外国の第三者に該当することには注意が必要です。

一方で、たとえ外国にあるサーバーに個人データを保存したとしても、当該サーバーの運用事業者が、当該サーバーに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供には該当しません。

日本国内の第三者の場合には、以下の場合には、第三者に該当しないとされていましたが、外国にある第三者への提供の場合は、以下の場合でも、第三者に該当しますので、注意が必要です。

委託：個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取り扱いの全部または一部を委託することに伴って当該個人データが提供される場合
事業承継：合併その他の事業の承継に伴って当該個人データが提供される場合
共同利用：個人データを特定の者との間で一定の条件の下共同して利用する場合

実際の提供方法

１　本人の同意を得て行う方法

本人の明示的な同意を得れば、個人データの移転ができるのは国内の場合と同様です。注意が必要なのは、個人情報保護法23条1項の「本人の同意」がある場合でも、「外国にある第三者への提供を認める旨の本人の同意」がなければ外国にある第三者には個人データを移転することはできないということです。

つまり、

①提供先の所在国名
②適切かつ合理的な方法で確認された当該国の個人情報保護制度
③提供先が講ずる措置（提供先のプライバシーポリシー等）

という３つの事項を予め提供した上での同意を得る必要があります。

なお、①の「所在国名」ですが、現行法では、具体的な国名を明示しなくてもよいとされていましたが、今回の改正により、具体的国名の明示が必須となります。

２　例外的に本人の同意が不要な場合

外国にある第三者への提供であっても、以下の場合には、本人の同意が不要とされています。

①我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則（平成28年個人情報保護委員会規則第3号。以下「規則」という。）で定める国にある者に提供する場合
②個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者に提供する場合
③法第23条第1項各号に該当する場合

ただし、①にあたる国として現在認められているのはアメリカとEU加盟国だけですし、

②例外の具体例は、提供先がアジア太平洋経済協力（APEC）の越境プライバシールール（CBPR）システムの認証を取得している事業者であるとされています。

③についても、国内の移転同様、条件を満たすのは限られた場合です。

いずれの場合も、該当する場合はかなり限定的ですので、実務上は本人からの同意を得る方法を考えるべきと言えるでしょう。

ガイドラインによる本人からの同意取得時の提供情報

本人の同意を得る場合、実務上問題になるのは、上記で説明しました、予め提供すべき３つの事項のうち、「②適切かつ合理的な方法で確認された当該国の個人情報保護制度」として、何を記載すべきかという点かと思います。

これについては、2021年8月2日に、ガイドラインが公開になりました。

ガイドラインによると、まず、「適切かつ合理的な方法で確認」したといえるためには、「一般的な注意力をもって適切かつ合理的な方法により確認したものでなければならない」とされており、具体的には下記の２つが事例として挙げられています。　

　事例 1）提供先の外国にある第三者に対して照会する方法
　事例 2）我が国又は外国の行政機関等が公表している情報を確認する方法

また、確認及び提供の対象となる、「当該国の個人情報保護制度」については、４点のポイントが説明されています。少し長いですが、重要な点なので、１つずつ説明します。なお、わかりづらいですが、情報の提供は、①と④は必ず必要で、②と③はどちらかの提供が必要（②がなければ③の関係）になります。

①個人情報保護に関する制度の有無
まず１点目に必要なのは、提供先の第三者が所在する外国に、個人情報保護に関する制度があるかどうかの提示です。存在しない場合には、それ自体が情報開示のリスクになるために必要な条件です。なお、同意取得時の情報提供では、個別の法令名の提供までは求められていませんが、求めがあった場合には情報提供できるようにしておくことが望ましいとされています。

②個人情報保護の水準等に関する客観的な指標の有無
２点目は、該当制度が存在する場合、個人情報保護の水準等に関する客観的な指標（特に、個人データの越境移転に伴うリスクと関係しうるもの）の提示です。指標の事例としては、下記が例示されています。

事例 1）当該第三者が所在する外国が GDPR 第 45 条に基づく十分性認定の取得国であること
事例 2）当該第三者が所在する外国が APEC の CBPR システムの加盟国であること

③OECDプライバシーガイドライン８原則に対応する事業者の義務等の有無
３点目は、２点目が存在しない場合に必要となります。２点目にあたるような客観的な指標が存在しない場合、さらに問題になるのは、OECDプライバシーガイドライン８原則に対応する事業者の義務等が、提供先の第三者が所在する外国の制度に存在するか否かです。この８原則は世界各国の個人情報保護やプライバシー保護に関する法律の基本原則とされているものであるので、もし、存在しない場合には、日本の個人情報保護制度と本質的に異なる（多くの場合は保護の程度が低い）と言えます。

④情報を提供する本人に重大な影響を及ぼす可能性のある制度の有無
４点目は、これまでの点の他に、情報を提供する本人に重大な影響を及ぼす可能性のある制度が存在するか否かです。下記の事例がガイドラインでしめされています。

事例 1）事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可
能となる制度
事例 2）事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度

以上、長くなりましたが、情報提供者本人から同意を得る際に提供が必要となる、「②適切かつ合理的な方法で確認された当該国の個人情報保護制度」の内容を、ガイドラインから説明しました。

まとめ

今回の法改正で、外国にある第三者への個人データ提供時に必要な情報がより詳細になりました。

ガイドラインの内容に従い、提供する本人が同意時にリスクを把握した上で同意の有無を判断でできるように、適切な情報提供を行いましょう。

【執筆者】弁護士　遠藤千尋　ITスタートアップでの企業内弁護士経験を基に、SaaSサービスの提供やスタートアップ企業特有の法律問題について、アドバイスを提供中。