SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ビッグデータ社会のプライバシー問題

データの越境移転で日本の事業者がとるべき対応とは?

■第18回

 改正個人情報保護法には、個人情報の海外への移転を制限する規定(越境移転規制)が盛り込まれており、外国でデータを処理する事業者は、すべからく対応が求められる。こうした規制は、欧州連合(EU)から始まり、近年は諸外国で次々に導入されており、グローバル化の進む日本企業にとって、データの越境移転への対処は、愁眉の課題となっている。本稿では、日本の改正法への対処を確認した後、EU並びに諸外国における対応との違い及び課題について明らかにし、国境を越えたデータ移転への対処について考察する。

日本の個人情報保護法における越境移転規制とは

 2015年9月に改正された個人情報保護法において、越境移転規制が盛り込まれた理由は、個人情報保護の不十分な国へのデータ移転を規律すること*1、EUから課せられている越境移転の制限を取り払うことの二点である。

 後者については、前回の記事で述べたとおり、政府が時間をかけて取り組む課題であるが、前者は、外国でデータを処理する日本の事業者が早々に対処しなくてはならない課題である*2

 ただし、法改正前後で事業者に大きな負担が新たにかかるような規制とはなっておらず、これまでの運用プロセスを確認、一部修正するだけで対処できるように配慮されている。越境移転規制への確認を、ステップごとに示す(図表1)。

Step1 移転先の外国が日本と同等の保護制度を有していると認定されているか?

 外国であっても、日本と同等の保護制度を有している場合は、国内と同様の対応で越境移転が可能である。日本と同等の保護制度を有しているかどうかの判断は個人情報保護委員会が別途、委員会規則で定めることとなっている。

 EUや米国が認定されることは想定されるが、先に委員会内において、同等性評価の基準や方法を整備した上で、外国の制度を調査する必要があることから、すぐには認定されることはなく、当面は、本Stepによる判断は活用できないものと推察される。

Step2 移転先の事業者が、委員会基準に適合する体制を整備しているか?

 委員会規則で定められる基準に適合する体制を、外国の事業者が整備している場合は、越境移転が可能である。この基準は、これまで個人情報の取扱いを委託する事業者との契約で盛り込むことが望まれる事項として既存の経済産業分野のガイドライン等において規定されていたものと同等のものが想定される。今後公表される予定の個人情報保護委員会が定める規則およびガイドラインにおいて明らかとなる。

 また、第三者への提供の例外とされる委託、共同利用、事業承継を行う事業者は、本Stepにおける基準に適合すれば、越境移転を行うことができる。

 なおAPECの越境移転プライバシールール制度(CBPR制度)*3に基づく認証資格を有していれば、委員会基準に適合するものとされている*4。  

 つまり、外国の事業者がCBPR認証を取得していれば、問題なく越境移転が可能となる。こうした国際的な認証制度は、今後、環太平洋パートナーシップ(TPP)協定のアジェンダにもなり得るもので、その動向が注目される。

Step3 第三者への提供の制限の例外事由に該当するか?

 従来からも規定されていた第三者への提供の制限の例外事由(23条1項各号)に該当する場合は、本人の同意がなくても、越境移転が認められる。

■23条1項各号の概要

  • 法令に基づく場合
  • 人の生命・身体又は財産の保護の為に必要であって、本人の同意を得ることが困難な場合
  • 公衆衛生・児童の健全な育成のために必要であって、本人の同意を得ることが困難な場合
  • 国・自治体の事務への遂行への協力に必要な場合

 上述のStep1~3でいずれも該当しなかった場合は、あらかじめ、外国に所在する事業者へ個人情報を移転することについて、本人から同意を取得しなければならない。この同意取得に当たって、本人に対して通知する内容に、移転先の国名や第三者の名称まで含めるべきか否か等ついては、個人情報保護委員会によるガイドライン等で明確化すべきという議論がある*5。  

図表1:外国にある第三者への提供(法24条関係)に係る規制対応の判断フロー
出所)改正個人情報保護法24条を基に作成

次のページ
委員会基準へ準拠するだけでは、EUへは越境移転はできない-日本にはない「データ処理者」とは何か?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ビッグデータ社会のプライバシー問題連載記事一覧

もっと読む

この記事の著者

小林 慎太郎(コバヤシ シンタロウ)

株式会社野村総合研究所 ICT・メディア産業コンサルティング部 兼 未来創発センター 上級コンサルタント専門はICT公共政策・経営。官公庁や情報・通信業界における調査・コンサル ティングに従事。情報流通が活発でありながら、みんなが安心して暮らせる社会にするための仕組みを探求している。著書に『パーソナルデータの教科書~個人情報保護からプライバシー保護へとルールが変わる~』(日経BP)がある。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7989 2016/04/28 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング