2021.11.29
令和2年・令和3年改正個人情報保護法を踏まえた事業者の実務対応 その3
のぞみ総合法律事務所
弁護士 村上 嘉奈子
4 外国にある第三者への提供
令和2年改正個人情報保護法(以下「令和2年改正法」又は「法」といいます。)においては,外国にある第三者への個人データ提供時における本人への情報提供の充実等を内容とする改正が行われました。
我が国の個人情報保護法上,個人データを外国にある第三者に提供することができる要件は,
①本人の同意
②基準に適合する体制を整備した事業者に対する提供
③我が国と同等の個人情報保護水準を有する国(EU・英国)に対する提供
の大きく3つとされているところ,令和2年改正法においては,このうちの①の本人同意のケース及び②のいわゆる体制整備者に対する提供のケースについて,事業者の対応を強化する内容の改正が行われています。
(1)①本人の同意を得て個人データを提供するケースの改正ポイント
令和2年改正法により,本人の同意を得た上で個人データを外国にある第三者に提供する場合,提供元である個人情報取扱事業者は,同意取得時において,本人に対し,
Ⅰ)当該外国の名称
Ⅱ)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
Ⅲ)当該第三者が講ずる個人情報の保護のための措置に関する情報
の各情報をいずれも提供しなければならないものとされました(法第24条第2項《令和3年改正個人情報保護法第28条第2項》,令和2年改正規則(以下「規則」といいます。)第11条の3《令和3年改正規則第17条》)。
上記各情報のうち,「Ⅱ)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報」については,個人情報取扱事業者において,提供先の第三者が所在する外国における個人情報の保護に関する制度と我が国の法との間の本質的な差異を本人が合理的に認識できる情報を確認した上で本人に提供する必要があり,具体的には,(ア)当該外国における個人情報の保護に関する制度の有無,(イ)当該外国の個人情報の保護に関する制度についての指標となり得る情報[i]の存在,(ウ)OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在,(エ)その他本人の権利利益に重大な影響を及ぼす可能性のある制度[ii]の存在の4つの観点を踏まえた確認の上で情報提供を行う必要があるものとされます(GL外国第三者提供編[iii]42~44P)。
(2)②基準に適合する体制を整備した事業者に対して個人データを提供するケースにおける改正ポイント
令和2年改正法においては,②基準に適合する体制を整備した事業者に対して個人データを提供する場合につき,個人情報保護委員会規則で定めるところにより,当該第三者による相当措置の継続的な実施を確保するために必要な措置を提供元事業者において講ずるとともに,本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならないものと定められました(法第24条第3項《令和3年改正法第28条第3項》)。
上記のうち,提供元事業者が講じるべき「当該第三者による相当措置の継続的な実施を確保するために必要な措置」とは,
Ⅰ)当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を,適切かつ合理的な方法により,定期的に確認すること[iv]
Ⅱ)当該第三者による相当措置の実施に支障が生じたときは,必要かつ適切な措置を講ずるとともに,当該相当措置の継続的な実施の確保が困難となったときは,個人データの当該第三者への提供を停止すること
とされています(規則第11条の4第1項《令和3年規則第18条第1項》)。
また,当該提供元事業者が本人からの求めを受けた場合においては,
Ⅰ)当該第三者による法第24条第1項(令和3年改正法第28条第1項)に規定する体制の整備の方法
Ⅱ)当該第三者が実施する相当措置の概要
Ⅲ)規則第11条の4第1項第1号(令和3年規則第18条第1項第1号)の規定による確認の頻度及び方法
Ⅳ)当該外国の名称
Ⅴ)当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
Ⅵ)当該第三者による相当措置の実施に関する支障の有無及びその概要
Ⅶ)Ⅵの支障に関して規則第11条の4第1項第2号(令和3年規則第18条第1項第2号)の規定により当該個人情報取扱事業者が講ずる措置の概要
につき,遅滞なく本人への情報提供を行う必要があります。
(3)外国にある第三者への提供に関する改正点を踏まえた実務対応
令和2年改正法における上記改正を踏まえ,外国にある第三者への個人データの提供を予定する事業者においては,当該提供が,①本人の同意,②基準に適合する体制を整備した事業者に対する提供,③我が国と同等の個人情報保護水準を有する国(EU・英国)に対する提供のいずれに該当するものであるかを確認した上,特に①本人の同意又は②基準に適合する体制を整備した事業者に対する提供の場合について,新たに対応を整備する必要があるものと解されます。
なお,個人情報保護委員会からは,合計31の国又は地域につき,個人情報の保護に関する法制度の有無や概要に関する一定の情報について,調査の上で近く公表する予定である旨が明らかにされていますので[v],これらの公表情報などを参照しつつ,事業者において対応を進めることが想定されます。
[i] GDPR上の十分性認定の取得国であること,APECのCBPRシステムの加盟国であること等
[ii] 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(令和3年10月一部改正版)44Pにおいては,本人の権利利益に重大な影響を及ぼす可能性のある制度に該当する事例として,事業者に対し政府の情報収集活動への広範な協力義務を課すことにより,事業者が保有する個人情報について政府による広範な情報収集が可能となる制度,事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度が挙げられています。
[iii] 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(令和3年10月一部改正版)
[iv] 年に一回程度又はそれ以上の頻度で,個人データを取り扱う場所に赴く方法,書面により報告を受ける方法又はこれらに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられるものとされます(GL外国第三者提供編50~51P)。