2020年・改正個人情報保護法の概要(「越境移転」編)

関原 秀行(Sekihara Hideyuki)

第1 はじめに

何回かに分けて改正個人情報保護法の概要を見てきましたが、今回は「越境移転」編ということで、「外国にある第三者」に個人データを提供する場面における改正事項について書いてみます。

まずは、今回の改正で追加されたルールの概要を見た上で、詳細な内容(改正前はどんなルールだったのか?改正によって何が追加されたのか?)を見ていこうと思います。

第2 今回の改正で追加された「越境移転」のルール

今回の改正によって、「外国にある第三者」に個人データを提供する場合において、本人に対して、外国の個人情報保護制度移転先事業者における個人情報保護措置などの一定の情報を提供することが義務付けられました。

ざっくり言うと、これまでの規制に加えて、本人に対する一定の情報提供を行わなければならなくなったということです。

第3 改正内容の詳細

1 元々の規制内容(ルール)

改正前の個人情報保護法では、「個人情報取扱事業者」が「外国にある第三者」に「個人データ」を提供することが可能なケースは次の①~④のいずれかに該当する場合でした。

① あらかじめ、本人から「外国にある第三者への提供を認める」旨の同意を取得する場合
② 23条1項各号に該当する場合
③ ㈠外国にある第三者が個人情報保護委員会が認めた国に所在する場合であり、かつ、㈡23条に従い提供(本人同意、オプトアウト手続、委託・合併・共同利用)する場合
④ ㈠外国にある第三者が委員会規則で定める基準に適合する体制を整備しており、かつ、㈡23条に従い提供(本人同意、オプトアウト手続、委託・合併・共同利用)する場合

また、個人データの提供元の事業者は、外国にある第三者に対して個人データを提供する場合であっても、「23条1項各号に該当する場合」又は「24条の適用対象から除外され23条の委託・共同利用等の方法(23条5項)により個人データを提供する場合」を除き、25条が定める記録の作成・保存義務の対象となります

2 今回の改正で追加された規制(ルール)

今回新たに追加されたルールは、「外国にある第三者」に対して「個人データ」を提供する場合に本人への情報提供を義務付けるものです。
本人に提供すべき情報の内容は、提供するスキームによって以下のとおり異なります。

(本人に提供すべき情報)
本人から「外国にある第三者への提供を認める」旨の同意を取得して提供する場合(第3・1・①のケース)
⇒委員会規則で定めるところにより、あらかじめ、当該外国における個人情報保護制度移転先である第三者が講ずる個人情報保護措置、その他本人に参考となるべき情報(改正法24条2項)
外国にある第三者が適合体制を整備しており、かつ、23条に従い提供(本人同意、オプトアウト手続、委託・合併・共同利用)する場合(第3・1・④のケース)
⇒委員会規則で定めるところにより、本人の求めに応じて、当該第三者による相当措置の継続的な実施を確保するために必要な措置に関する情報(改正法24条3項)

①と②の違いは、情報を提供すべきタイミング提供すべき情報の内容の2点です。

(情報を提供すべきタイミング)
①のケース(本人同意)では、同意を取得するタイミングで情報を提供する必要があります。つまり、一定の情報を本人提供した上で、外国ある第三者へ提供することについての同意を取得する必要があるということです。
他方、②のケース(適合体制整備)では、本人から要求があったタイミングで情報を提供すれば足ります

(提供すべき情報)
①のケース(本人同意)では、提供すべき情報として外国の個人情報保護制度が含まれています。
他方、②のケース(適合体制整備)では、条文上は外国の制度に関する情報提供までは要求されておらず、適合体制を継続的に確保するために講じている措置などに関する情報を提供すれば足りるものと思われます。

ちなみに、国会答弁では提供すべき情報提供方法について以下のように答弁がなされています。

外国にある第三者への個人データの提供を認める旨の本人の同意を得ようとするときには、個人情報取扱事業者が当該本人に提供しなければならない情報や提供の方法については委員会規則で定めることとしておりますけれども、現時点では、例えば提供すべき情報としては、第三者の所在する外国の国名、それから個人情報保護制度などを想定しております
 また、提供の方法につきましては、電磁的な記録の提供や書面の交付による方法、基本的には日本語又は本人が内容を理解できる言語というふうに考えておりますけれども、こういった方法を想定をしてございます。

第4 感想

1 実務的な影響は??

実務上はかなり影響が大きいのではないかと思っています。

②の適合体制整備によって第三者に提供する方法は、CBPRシステムの認証を取得している事業者が多くはない現状においては、提供先の第三者の協力を得た上で、提供先における個人データの取扱いについて、「適切かつ合理的な方法」により「個人情報保護法第4章第1節の規定の趣旨に沿った措置」の実施(規則11条の2第1号)を確保するために提供先事業者との間で合意をした上で契約、内規などでルールを決めることが多いと思われます。

しかしながら、上の方法は提供先事業者の協力が不可欠であるため時間がかかることも少なくないですし、そもそも提供先事業者の協力が得られなければ困難なスキームです。そのため、それ以外の方法で「外国にある第三者」に「個人データ」を移転するためには基本的には本人同意を取得せざるを得ません。

そして、本人同意を取得する際に外国の個人情報保護制度の説明を要するとすれば、事業者側の負担は相当重くなるのではないかと思われます(もっとも詳細は委員会規則で明確化されますので、規則・ガイドラインの定め方によってはそれほど重くはならない可能性もあります)。

2 提供が必要な外国の個人情報保護制度の範囲は??

⑴ どこの国の情報?

これは、条文を素直に読むとサーバなどの設備の位置ではなく、提供先の事業者が所在している国の制度を説明すればよいものと思われます。

⑵ どのくらいの情報?

個人情報保護法という名称がついた法律を説明すればよいのか、それとも個人に関する何らかの情報を保護する制度を全部説明する必要があるのか、また条文へのlinkを貼っておけばよいのか等、提供すべき情報の粒度によって対応が必要となる事業者の負担の重さは全く変わってくると思います(USだと州法??)。この点については、今後委員会規則やガイドラインで明確化されますので注視が必要です。

この記事が気に入ったらサポートをしてみませんか?