見出し画像
Photo by chiyoizmo

令和2年改正個人情報保護法ガイドラインに対するパブリックコメント(外国にある第三者への提供編)の紹介

A&A法律事務所

令和2年改正個人情報保護法(以下「法」)のガイドライン案のうち、通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編については、令和3年5月19日から6月18日に意見募集が行われ、8月2日に結果が公表されました。今回のパブリックコメントには、個人および企業を合わせ、130人から885件の意見が提出されたとのことです。

この記事では、これらのうち、外国にある第三者への提供編についてのパブリックコメントから、実務上参考になると思われるポイントを紹介します。

情報取得時に開示される提供先の外国の法制度情報の提供

以前の記事でもご紹介したように、外国にある第三者への個人情報の提供について同意を取得する際には、「適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報」(規則第 11 条の 3 第 2 項第 2 号)を提供すべきとされ、ガイドライン案では5-2で解説がされています。

しかし、個々の事業者が、各国の法制度を収集・評価することは現実的には非常に困難であるので、「各国が多かれ少なかれ一定の枠組みを持っている政府アクセスやデータのローカリゼーションなどについては、どの程度の情報を提供しなければならないかを十分に明確にしておかないと、国境を越えた移転の大きな障害となり、萎縮効果をもたらす可能性が高いと思われる。」との意見がありました(番号66)。

それに対して個人情報保護委員会からの回答として、原則的に事業者の責任において情報収集・評価すべきとしつつ、「当委員会においても、外国の個人情報の保護に関する制度について、事業者の参考となる一定の情報をとりまとめて公表する予定です。」とありました。

そして、9月17日には、「外国における個人情報の保護に関する制度等の調査について」において、下記の表の各国について個人情報保護制度を調査し、年内を目処に結果を公表することを発表しました。

スクリーンショット 2021-10-17 23.16.52

上記66番の意見にあるように、各国の個人情報保護制度を調査し、日本の制度と比較した上で、個人情報取得時に適切な情報提供を行うことは大きな負担となります。

パブリックコメント内では、番号66の他にも、個人データ提供先事業者の所在する外国の個人情報保護制度の調査・評価及び提供後の継続的な提供先に対する監督についての実行可能性に疑問が呈されるとともに、個人情報保護委員会への情報提供の要望が見られました。上記の調査の他にも、個人情報保護委員会からは情報提供が予定されているようですので、今後の動きに引き続き注目する必要があります。

情報提供後の継続的なモニタリングの内容

外国にある第三者への個人データを提供した後には、法24条3項、規則11条の4により、提供元事業者による、提供先企業が適切に個人データを管理しているのかを継続的に確認し、かつ必要がある場合には本人への情報提供を行う義務が課されることになります。パブリックコメント内の番号136〜160では、この確認方法等について、数多く質問がなされました。

例えば、番号144では、「書面での確認だけでよいのか、何らかの監査の実施は不要か確認したい。」との質問がなされ、「一般論として、相当措置の実施状況について書面による報告を受けて確認する方法も、 適切かつ合理的な方法に該当し得ると考えられます。」との回答がありました。

しかし、実際になにか「相当措置の実施状況」の「確認」にあたるのかは、「具体的な確認の方法 については、個別の事案における具体的な事情も踏まえて決定すべきものであると考え られます。」とされています。

クラウドサービス利用時の外国にある第三者への個人データの提供該当性

ガイドライン4-2-1から4-2-20までには、外国にある第三者への個人データの提供に関する典型的な事例が挙げられていますが、番号15の質問では、クラウド利用で外国にある第三者への個人データ提供にあたる場合の具体例の明示の要望がありました。

クラウド利用のには、多種多様な形態があり、契約内容も様々でありますが、利用者のデータがどの国にあるのか、必ずしも明らかではない場合、または外国にある第三者への個人データの移転が伴う場合があります。

例として、AWS、GCP、Azureといったサービスでは、利用者のデータがどこに存在する物理サーバに保存されているのか必ずしも明らかではなかったり、外国にある第三者へ個人データの移転が伴う場合があります。したがって、このようなクラウドを利用する事業者が個人情報を取得する際に、法24条1項の同意を取得する必要があるかどうかが問題になります。

個人情報保護委員会からの回答としては、ガイドラインに関するQ&A5-33、9-5、9-6と同趣旨とし、「一般論として、外国の事業者が運営するクラウドサービスを利用する場合であっても、当該事業者がサーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24 条)に該当しません」としています。また、この、「外国のクラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。」としており、クラウドサービスの利用にあたっては、利用規約内で、クラウド事業者が利用者の個人データを取り扱わないとの記載があるかどうかの確認が重要となります。

まとめ

今回の記事では、ガイドライン案のうち、外国にある第三者への提供編へのパブリックコメントの内容を一部紹介しました。外国にある第三者への提供編への質問だけでも183件と、その内容には大きな関心が寄せられていると感じました。

パブリックコメントの意見・質問には、個人情報保護委員会による、外国の法制度の情報提供や、事業者の対応に対する具体例の提示など、さらなる情報公開を求める声が多く寄せられていました。その要望に応じ、個人情報保護委員会からも情報公開の予定が示されています。来年の改正法施行に備え、引き続き、最新情報を注視する必要がありそうです。



この記事が気に入ったらサポートをしてみませんか?