改正個人情報保護法の対応ポイント
第3回 個人データの越境移転に関して企業が対応すべき事項とは

 

2022年2月28日

「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月公布)の全面施行が2022年4月1日に迫っている。個人情報を扱うすべての事業者が対象になるため、対応を進めている企業も多いのではないだろうか。
本シリーズの第1回では、改正個人情報保護法の主な変更点と企業が対応すべき点を解説し、第2回では、仮名加工情報に関する対応ポイントを解説した。第3回では、個人データの越境移転に関して企業が対応すべき点を解説する。

個人データの越境移転とは?

個人データの越境移転とは、日本ではない外国にある第三者に個人データを提供することを指す。現行法では個人データを日本ではない外国にある第三者に提供するには、下の3つの条件のうちいずれかを満たす必要があると定められている。

①本人の同意を得ていること

②提供先が所在する外国の個人情報保護制度が日本と同等の水準にあると認められる国として個人情報保護委員会規則で定められていること(提供先がEUおよび英国に所在していること)

③提供先が、個人情報保護委員会規則が定める基準に適合する体制を整備していること(提供先がAPECのCBPRシステム(Cross Border Privacy Rules/APEC越境プライバシールールシステム)の認証を取得していること、または法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること)

上記①に該当する場合、法改正により、本人の同意取得時に提供する情報の充実が求められることとなるため本インサイトの内容を考慮する必要がある。
上記②に該当する場合は個人データの越境移転に係る本人の同意を得る必要がなく、法改正により発生する新たな義務への対応も必要ないため、本インサイトで解説する対応ポイントへの考慮は不要である。
上記③については本人の同意は不要であるが、法改正により、移転先において個人情報保護の措置が継続的に講じられるようにするとともに、本人の求めに応じて措置の内容について情報提供する義務が課されることとなるため、本インサイトの内容を考慮する必要がある。
 

法改正で求められる個人データの越境移転に係る情報提供の充実

国や地域における制度の違いが、事業者が個人データの越境移転によるセキュリティリスクを予見できる可能性を不確実なものとしている。例えば、セキュリティリスクを予見できないことで、移転先の外国政府の指導により、移転した個人データの提出が義務付けられる等の可能性もある。それによって、個人データが不正利用されないとも限らない。個人データの越境移転の機会が広がる中で、このような懸念を解消するため、改正個人情報保護法の施行により、個人データの越境移転時に提供先における個人情報の取扱いに関する本人への情報提供の充実が求められることとなる。具体的には新たに以下2つの義務が課されることとなる。

①本人の同意を得るために提供先が所在する外国の法制度や提供先で講じられる個人情報保護についての情報を提供する義務

②個人情報保護委員会規則が定める基準に適合する体制を整備している提供先において、個人情報保護のための措置が継続的に講じられるようにするとともに、本人の求めに応じてその措置についての情報を提供する義務

法改正に向け対応すべきこととは

前章で述べた2つの義務への対応は、以下のステップで考える必要があるだろう。

法改正に向け対応すべきこととは

ステップ1では、現行法に則った個人データの越境移転に係るルール・プロセス・評価方針等が、改正法に対応しているかを精査し、精査の結果に応じてステップ2へと進んでいく。
ここで、ステップ2「発生する義務への対応」についてのポイントと対策の一例を挙げる。

①同意を得るために提供先の外国の法制度や提供先で講じられる個人情報保護についての情報を提供する義務

対応の観点 対応ポイント 対応例
テクノロジー データ越境移転の同意を得るための情報提供が可能なシステムが整備されていることがポイントとなる。
  • ホームページ等のウェブサイト上に情報を記載し、本人に閲覧させる
  • 本文に情報が記載された電子メールを本人に送付し、閲覧させる
人・組織 データ越境移転の同意を得るための情報提供に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。
  • 外国の法制度の収集や更新情報の収集および提供国が増えた場合の対応に関するフローや手順を浸透させるため勉強会や説明会を開催する
  • 情報提供に関する規程、ポリシー、フローや手順を浸透させるため勉強会や説明会を開催する
  • 情報提供をシステム化せず、書面や口頭説明によって直接本人に交付する場合、プロセスの担い手が遂行に十分なスキルを有しているか確認する
プロセス データ越境移転の同意を得るための情報提供に関するフローや手順が整備されており、明文化されていることがポイントとなる。
  • 外国の法制度の収集や更新情報の収集方法および提供国が増えた場合の対応ルールやフローを精査し、明文化する
  • 情報提供方法を精査し、必要に応じてフローや手順を整備し明文化する
  • 提供すべき情報を精査し、明文化する
規範・法律 データ越境移転の同意を得るための情報提供に関する対応義務について把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。
  • 外国事業者側の個人情報保護制度を本人に提供する必要がある旨を規程やルールに記載する
  • 最低限提供すべき情報を規程やルールに記載する

 

②個人情報保護委員会規則が定める基準に適合する体制を整備している提供先で個人情報保護のための措置が継続的に講じられるようにするとともに、本人の求めに応じてその措置についての情報を提供する義務

対応の観点 対応ポイント 対応例
テクノロジー 措置・制度についての情報提供が可能なシステムが整備されていることがポイントとなる。
  • ホームページ等のウェブサイト上に情報を記載し、本人に閲覧させる
  • 本文に情報が記載された電子メールを本人に送付し、閲覧させる
人・組織 措置・制度の確認および措置・制度についての情報提供に関する規程、ポリシー、フローや手順書が組織内に浸透しており、各種役割や権限が明確になっていることがポイントとなる。
  • 以下に関する規程、ポリシー、フローや手順を浸透させるための勉強会や説明会を開催する
    • 提供先における措置の実施確認および本人の求めに応じた措置の情報提供
    • 措置の実施に影響をおよぼす可能性のある外国の法制度の有無や内容の定期的な確認と情報提供
  • 提供先における措置の実施確認および外国の法制度の有無や内容確認に係るプロセスの担い手が遂行に十分なスキルを有しているか確認する
  • 情報提供をシステム化せず、書面や口頭説明によって直接本人に交付する場合、プロセスの担い手が遂行に十分なスキルを有しているか確認する
プロセス 措置・制度の確認および措置・制度についての情報提供に関するフローや手順が整備されており、明文化されていることがポイントとなる。
  • 以下について精査し、必要に応じてフローや手順を整備し明文化する
    • 提供先における措置の実施確認を行う頻度や確認内容
    • 措置の実施に影響をおよぼす可能性のある外国の法制度の有無や内容の確認を行う頻度や確認内容
    • 情報提供方法
  • 提供すべき情報を精査し、明文化する
  • 提供先における措置の実施に支障が生じた際の対応(必要かつ適切な措置を講じる、継続的な実施ができない場合は個人データの提供を停止する等)ルールを精査し、明文化する
規範・法律 措置・制度の確認および措置・制度についての情報提供に関する対応義務について把握し、その内容が組織の規程やルールに反映されていることがポイントとなる。
  • 以下について規程やルールに記載する
    • 提供先における措置についての情報を本人の求めに応じて提供する必要がある旨
    • 措置の実施に影響をおよぼす可能性のある外国の法制度についての情報を本人に提供する必要がある旨
    • 最低限提供すべき情報

 

そして、ステップ3のリスク評価に関しては、個人データの越境移転においてリスク評価を行い、移転先の情報を本人に提供し、本人に認識してもらうことが求められる。その上で同意を取得する必要があることから、同意が取得できない国にデータを移転しないようリスク評価を行うことも求められる。例えば、PaaS(Platform as a Service)のようなクラウドサービスを利用するケースにおいてデータの所在が特定できない場合、その理由や移転シーンを本人に説明し同意を取得する選択をするのか、移転しないことも含めて別サービスを検討するのかといった評価である。法改正に対応しているが、本人の同意が取得できずに事業が行えない等の事態に直面しないよう、個別事案におけるリスク評価の基準やプロセス、ルールを定める必要があるだろう。ステップ3で行うリスク評価の例としては以下が考えられる。

リスク評価例
  • 越境移転する必要があるか(国内で対応できないか)
  • 国や事業者の制度を把握した上で、当該外国に移転すべきか
  • 越境移転について本人が懸念を抱かないか
  • 本人から同意を得られる移転先か
    【移転先の評価内容例】
    • 個人情報の保護に関する制度がない外国には移転しない
    • 個人情報についてあらかじめ特定した利用目的の範囲内で利用しなければならない旨の制限がない外国には移転しない
    • 事業者が保有する個人情報の開示請求の権利が本人にない外国には移転しない
    • 移転した個人情報が移転先の外国政府によって閲覧される可能性がある外国には移転しない
    • 移転した個人情報の本人からの消去等の請求に対応できない可能性がある外国には移転しない
    • 利用目的の通知や公表を行っていない外国には移転しない
    • OECDプライバシーガイドライン8原則に対応する措置を講じていない外国には移転しない

 

また、現時点では明確にはなっていないが、経済安全保障法制の重要な基幹システムの安全性・信頼性の確保において、外国企業への業務委託の規制が議論されていることから、動向を注視し、必要に応じて評価項目に追加することも必要となるだろう。

まとめ

改正個人情報保護法の全面施行が2022年4月1日に迫る中、企業には個人データの越境移転について理解し、適切な対応を行うことが求められている。すでに公開されているガイドラインを読み解き、外国企業に個人データの提供をしている企業は現在の対応状況を整理した上で、必要に応じて早急に見直す必要がある。また、外国企業に個人データを提供することを検討している企業は改正法で新たに対応すべき事項を踏まえた検討および対応が求められる。

  • (免責事項) 当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。

関連ページ

page top