域外適用・越境移転の規制強化が明確に定められた
日本国内にある者にかかわる個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とすることとなりました(法75条関係)
- 改正前:外国の個人情報保護事業者に対しては、個人情報保護法の多くが適用されることとなっていますが、報告徴収や立入検査、命令に関する規定は適用されていませんでした
- 改正後:外国の個人情報保護事業者に対しても、域外適用として国内の事業者と同様に個人情報保護法のすべての規定が適用されることになりました。結果として報告徴収や立入検査、命令に関する規定も適用されることになりました
[画像クリックで拡大]
解説
域外適用の対象となる外国にある個人情報取扱事業者とは、たとえば以下のようなケースです。
- 外国のインターネット通販会社が、日本の消費者に対する商品の販売・配送に関連して、日本の消費者の個人情報を取り扱う場合
- 外国のメールサービス提供事業者が、日本の消費者に対する メールサービスの提供に関連して、日本の消費者の個人情報を取り扱う場合
- 外国のホテル会社が、日本の消費者に対する現地の観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本の旅行会社等から提供を受けた日本の消費者の個人情報を取り扱う場合
今後は、このような外国の個人情報取扱事業者に対し、個人情報保護委員会は罰則による強制力をともなう報告徴収や立入検査、命令ができるようになります。もちろん、命令違反があった場合は、公表も可能となります。
システム部門が対応するべきこと
システム部門では、以下の対応が必要です(ユーザー部門が自ら行う。もしくはユーザー部門の依頼に応じて対応する場合もあります)。なお、これらは外国の個人情報取扱事業者に新たに必要な事項であって、日本国内の個人情報取扱事業者にとっては、改正前から対応が義務付けられている事項です。
- 個人情報保護委員会から報告徴収を求められた場合、システムに関する必要な情報の提供や、報告に必要な技術的対応の支援
- 個人情報保護委員会から立入検査を求められた場合、システムに関する必要な検査への対応や、検査に必要な技術的対応の支援
- 個人情報保護委員会から命令が発出された場合、命令に基づくシステムに関する必要な措置の実施や、それら措置の実施に必要な技術的対応の支援
