改正個人情報保護法の越境移転における情報提供義務にどう対応するか？

１　はじめに

令和2年・改正個人情報保護法では個人データの越境移転に関する規制が追加されました。
これについて、いろいろ議論があるようなので私も思うところを書きたい欲求に駆られて今回noteを書いてみます。
まずは、個人データの越境移転に関連して追加された規制を見ていきます。

２　越境移転データ移転時の情報提供の充実

今回追加された越境移転に関する情報提供などに関する規制のイメージは以下のとおりです。

現行法では、日本以外の「外国にある第三者」に個人データを提供するためには、大きくわけて以下の３つのいずれかの条件を満たす必要があります（細かい話をすると23条1項各号の要件を満たす場合も提供可能ですが今回は省略します）。

①　本人から外国の第三者に提供することにつき同意を取得する
②　外国にある第三者が規則が定める基準に適合する体制を整備する
　（この他、委託・共同利用などの要件も満たす必要があります）
③　外国にある第三者がPPCが日本と同等水準と認めた国（ＥＵ）に所在
　（この他、委託・共同利用などの要件も満たす必要があります）

改正法では上記①・②のケースについて、現行法の要件に加えて以下の義務を追加しています。

本人同意を根拠とするケース（上記①）
本人の同意を取得するタイミングで、本人に対して、以下のような「参考となるべき情報」を提供する義務が追加されました（24Ⅱ）。
・提供先である第三者が所在する外国の国名
・当該外国における個人情報の保護に関する制度の有無および概要
・当該第三者のプライバシーポリシー等

適合体制の整備を根拠とするケース（上記②）
本人の同意は不要ですが、以下の２つの義務が追加されました（24Ⅲ）
・提供先である第三者における適切な体制の「継続的な実施を確保するために必要な措置」を講じること
・本人の求めがあった場合には必要な措置に関する情報を提供すること

改正法では、このように「本人同意を根拠とするケース」と「適合体制の整備を根拠とするケース」にわけて、別々の義務を追加しています。
個人的見解ですが、これは第三者が適合体制を整備しているケースでは、少なくとも提供先の第三者において日本の個人情報保護法と同レベルの保護が図られているはずであるため、その運用が確保できている限りは同レベルの保護が担保されるため、提供先の国名や制度についての詳細な情報提供までは不要と考えているのではないかと思われます。
一方で、適合体制が整備されておらず、提供先における個人データの取扱いが日本の保護水準を下回る潜在的可能性がある場合には、本人に情報提供した上で、提供に同意するかどうかのオプション（選択肢）を与えて保護を図ろうとしているのではないかと思われます。

次に、これらの追加された義務についてもう少し詳しく見ていきます。

３　追加された義務の詳細

追加された義務の詳細は委員会規則に委任されていますが、どのようなルールが想定されているのでしょうか。
個人情報保護委員会の事務局の方々が執筆された記事によれば、以下のAnswerのように述べられています（村瀬ほか「『個人情報の保護に関する法律等の一部を改正する法律』（令和2年改正）等について（下）」NBL・20頁）。

Ｑ　提供先の個人情報保護に関する制度を詳細に情報提供する必要がありますか？
Ａ　移転先国の個人情報の保護に関する制度等についての本人に対する情報提供は、移転先国における個人情報の取扱いについて本人の予見可能性を高めるとともに、移転元である国内事業者に対して一定の留意を促すことが趣旨であることから、その範囲で必要最低限のものとし、網羅的である必要はない。

Ｑ　情報提供についての事業者の負担について何らかの配慮がなされますか？
Ａ　事業者の負担にも配慮し、提供先である第三者への照会を行うことや、個人情報保護委員会が公表する情報を確認する等、一定の手続を踏めば情報提供義務を履行したものとする予定である。

Ｑ　体制整備を移転の根拠とする場合における「必要な措置」（24Ⅲ）として、どのようなものを想定されていますか？
Ａ　提供先である第三者による個人データの取扱いを担保する契約等に基づいて移転した場合については、以下が想定される。
・　当該第三者による当該契約の履行状況を確認すること
・　当該契約の履行と関係する当該外国の法令の制定改廃状況を定期的に確認すること
・　当該第三者による当該契約の履行が困難な場合は当該第三者への個人データの提供を停止すること

＊想定される情報提供の詳細については、kanegoontaさんがウェビナーの内容をブログでまとめられており、こちらも参考になります。

【ウェビナーメモ】令和２年改正個人情報保護法について - Nobody's 法務

４　現実的な対応は？

委員会規則もまだ出ていないので、実際の対応を検討するのはもう少し先になりますが、頭の体操がてら現時点の公表情報をもとにどのような対応方法が想定されるのかを考えてみました。

例えば、以下の3STEPのような対応方法が考えられます。

STEP1（適合体制の整備＋モニタリング）
個人的には提供先の第三者との間で適合体制を整備した上で、適切な運用がなされているか、提供先の国の制度に変更がないか、といったモニタリングなどの相当措置で整理できるのであれば、それが望ましいのではないかと考えています。
これは、適合体制が整備でき運用が適切であれば提供先の第三者においても日本と同レベルの保護が達成されており、本人に不測の不利益が生じる可能性が低いと思われるためです。
この場合、本人の同意取得や同意時の情報提供は不要ですが、体制整備やその後のモニタリング、本人から求めがあったときの情報提供などの体制を整える必要はあります。

STEP2（契約交渉が困難なクラウドサービスへの対応）
契約交渉が困難でありサービス利用規約が固定されているクラウドサービスについては、STEP1の対応が困難な場合があります。
その場合であっても、提供先の事業者において「個人情報を取り扱わないこととなっている場合」（契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等）には、外国の第三者への提供には該当しません（個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』・Q9-5）。
そのため、上記のように整理できるケースについては改正法の情報提供義務等の対象外になると考えられます。
こちらの整理が難しい場合には、STEP3の対応を行うことになると思われます。

STEP3（情報提供＋本人同意）
STEP1、STEP2によって整理できないケースについては、本人への情報提供＋本人からの提供同意を取得することになると思われます。
情報提供の内容については、前述しましたとおり、提供先の第三者への照会や個人情報保護委員会が公開した情報を利用して本人に情報提供することで足りる場合には、事業者の負担はそれほど重くはないかもしれませんが、それを超えて必要な情報提供のために事業者自身で各国の法制度の調査および制度変更のフォローまで行うこととなった場合には、その負担は相当重いものになるものと思われます。

５　モヤモヤは残るけど・・・

現時点で公開されている情報をもとに、現実的な対応方法を考えてみました。
ただ、やっぱりモヤモヤは残ります・・・。

クラウドサービスなどについては解釈上「個人情報を取り扱わない」と解せるとしても提供先の国においてガバメントアクセスやデータローカライゼーションの規制がある場合、そのような解釈は本人にとってあまり意味がないというか、今回の改正法の趣旨に従えば本人に情報提供が必要な点ではあまり変わらない気がしています。

情報提供＋本人同意についても、確かに提供先の第三者への照会や個人情報保護委員会が公開する情報をもとに情報提供すれば提供元の事業者の負担は軽いのですが、それってそもそもの法律の趣旨と違うのような気もしています。
だって、照会に対する回答が正しいかどうかわからないし、委員会が公表する情報が全世界カバーしていて適時改訂されるかわからないので。

なので、できるかどうかは別にして改正法の趣旨を踏まえたあるべき論としては、提供先の国の制度を適切にフォローして本人に情報提供する、ということなのかなと思います（こんな話をすると無茶を言うなと怒られそうですが）。
適合体制の整備を根拠とした場合であっても透明性の観点から提供先の国やその国の制度について情報提供することは可能なので、できる事業者はやってみてもいいんじゃないかなと思います。

ちなみに、この問題については弁護士の世古先生がブログで、みんなで情報集めてフォーマットを作って、みんなで使っちゃおう！！という提案をされています（わたしはこの発想は好きです）。

改正個人情報保護法の対応_越境移転 - 思い出したいことがある

ということで思ったことを好き勝手書いてしまいましたが、いったんPPCの規則案が公開されるのを待ちたいと思います（と言いつつ何か思いついたら書くかもしれませんが）。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　（おわり）