令和2年改正個人情報保護法のガイドライン(案)のポイント(越境移転編)

関原 秀行(Sekihara Hideyuki)

現在、パブコメ中の令和2年改正個人情報保護法に関するガイドライン(外国にある第三者への提供編)(案)(以下、記載の便宜のため「外国提供編」とします)について、ガイドライン案で明確化されたポイントをまとめてみました。

通則編(案)については、以下をご参照ください。

1 適合体制を根拠に提供する場合の具体例を追加

「外国の第三者」に「個人データ」を提供する場合、本人同意がなくても適合体制を整備していれば提供することが可能です(24条1項)。

具体的には、個人情報保護法「第 4 章第 1 節の規定の趣旨に沿った措置」を講じる必要がありますが、令和2年改正によって、個人情報保護法・第4章の規律が追加されたため、追加された規律(不適正な利用の禁止、漏えい報告など)に関する具体例がガイドライン(案)には追記されています(外国提供編4-2)。

2 同意取得時に情報提供すべき「外国の名称」

令和2年改正により、同意を根拠に「外国にある第三者」に「個人データ」を提供する場合、同意取得時に「外国の名称」などの情報提供をすべきこととなりました(24条2項・規則11条の3第2項)。

外国提供編では、「外国の名称」の情報提供においては「提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められない」としています(外国提供編55-56頁)。

ただし、「個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨を踏まえると、例えば、州法が主要な規律となっている等、州法に関する情報提供が本人の予測可能性の向上に資する場合には、本人に対して、提供先の外国にある第三者が所在する州を示した上で、州単位での制度についても情報提供を行うことが望ましい」として、州レベルでの情報提供を行うことが望ましいケースもあり得ると記載しています(外国提供編55-56頁)。

3 同意取得時に情報提供すべき外国の個人情報保護制度に関する情報

令和2年改正により、同意を根拠に「外国にある第三者」に「個人データ」を提供する場合、同意取得時に「適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度」に関する情報を提供をすべきこととなりました(24条2項・規則11条の3第2項)。

(1)「適切かつ合理的な方法」の具体例

外国の個人情報保護制度を取得するための「適切かつ合理的な方法」の具体例が記載されています。

(事例1)
提供先の外国にある第三者に対して照会する方法
(事例2)
我が国又は外国の行政機関等が公表している情報を確認する方法

(2)情報提供すべき外国の個人情報保護制度

外国の個人情報保護制度の情報を提供する際には、日本の個人情報保護法との本質的な差異を本人が合理的に認識できる情報である必要があり、次の①~④の観点を踏まえる必要があるとされています(外国提供編56-60頁)。

① 当該外国における個人情報保護制度の有無
② 当該外国の個人情報保護制度についての指標となり得る情報の存在
例:GDPRの十分性認定の取得国、CBPRシステムの加盟国
③ OECD プライバシーガイドライン8 原則に対応する事業者の義務又は本人の権利の不存在
④ その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
例:包括的なガバメントアクセス、データローカライゼーション

4 同意取得時に提供すべき提供先の第三者が講ずる個人情報保護措置に関する情報

令和2年改正により、同意を根拠に「外国にある第三者」に「個人データ」を提供する場合、同意取得時に提供先の「第三者が講ずる個人情報の保護のための措置に関する情報」に関する情報を提供をすべきこととなりました(24条2項・規則11条の3第2項)。

これについては、「当該外国にある第三者において、OECD プライバシーガイドライン8 原則に対応する措置(本人の権利に基づく請求への対応に関する措置を含む。)を講じていない場合には、当該講じていない措置の内容について、本人が合理的に認識できる情報が提供されなければならない」とした上、「提供先の外国にある第三者が、OECD プライバシーガイドライン8原則に対応する措置を全て講じている場合には、その旨を本人に情報提供すれば足りる」とされています(外国提供編61頁)。

5 適合体制整備を根拠に提供する場合における外国制度の定期的確認 

本人からの同意が不要な適合体制の整備を根拠として「外国にある第三者」に個人データを提供する場合、適合体制の整備はもちろん、それが継続的に実施されるように外国制度のモニタリング等を行う必要があります(24条3項・規則11条の4第1項)。

(1)確認頻度

外国の制度は、「定期的に確認」する必要がありますが、外国提供編では、「定期的に確認」とは年に1回又はそれ以上の頻度で確認することをいうとされています(外国提供編70-71頁)。

(2)相当措置の実施に影響を及ぼす外国の制度

確認する必要があるのは、相当措置の実施に影響を及ぼす外国の制度の有無とその内容ですが、その具体例としては、包括的ガバメントアクセス、データローカライゼーションに関する制度が挙げられています(外国提供編72頁)。

(事例1)
事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
(事例2)
事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度

6 適合体制整備が困難になった場合の対応 

適合体制の整備によって「外国にある第三者」に提供した場合、令和2年改正の下では、その体制構築が困難になったときには、必要な措置を講じるとともに、それでも適切な体制整備の継続が困難な場合、個人データの第三者提供を停止する必要があります(24条3項・規則11条の4第1項)。

(1)支障発生時の対応

支障が発生した場合に講じるべき必要かつ適切な措置の具体例が外国提供編に記載されています(外国提供編73頁)。

(事例)
日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請すること

(2)相当措置の継続的な実施な困難な場合

「外国にある第三者」による相当措置の継続的な実施の確保が困難となった場合、当該第三者は、実質的に基準適合体制を整備しているとはいえないと考えられますので、それ以降、当該第三者への個人データの提供を停止する必要があります。

外国提供編では、その具体例が記載されています(外国提供編73-74頁)。

(事例1)
日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請したにもかかわらず、当該提供先が合理的な期間内にこれを是正しない場合
(事例2)
外国にある事業者において日本にある個人情報取扱事業者から提供を受けた個人データに係る重大な漏えい等が発生した後、同様の漏えい等の発生を防止するための必要かつ適切な再発防止策が講じられていない場合

7 適合体制整備における本人への情報提供

適合体制の整備を根拠に「外国にある第三者」に個人データを提供する場合、本人同意は不要ですが、本人から求められた場合には、一定の情報を提供しなければなりません(24条3項)。

外国提供編では、本人に提供すべき情報の詳細が具体例とともに記載されています(外国提供編75-82頁)。


この記事が気に入ったらサポートをしてみませんか?