日本の個人情報保護法における越境移転規制とは
2015年9月に改正された個人情報保護法において、越境移転規制が盛り込まれた理由は、個人情報保護の不十分な国へのデータ移転を規律すること*1、EUから課せられている越境移転の制限を取り払うことの二点である。
後者については、前回の記事で述べたとおり、政府が時間をかけて取り組む課題であるが、前者は、外国でデータを処理する日本の事業者が早々に対処しなくてはならない課題である*2。
ただし、法改正前後で事業者に大きな負担が新たにかかるような規制とはなっておらず、これまでの運用プロセスを確認、一部修正するだけで対処できるように配慮されている。越境移転規制への確認を、ステップごとに示す(図表1)。
Step1 移転先の外国が日本と同等の保護制度を有していると認定されているか?
外国であっても、日本と同等の保護制度を有している場合は、国内と同様の対応で越境移転が可能である。日本と同等の保護制度を有しているかどうかの判断は個人情報保護委員会が別途、委員会規則で定めることとなっている。
EUや米国が認定されることは想定されるが、先に委員会内において、同等性評価の基準や方法を整備した上で、外国の制度を調査する必要があることから、すぐには認定されることはなく、当面は、本Stepによる判断は活用できないものと推察される。
Step2 移転先の事業者が、委員会基準に適合する体制を整備しているか?
委員会規則で定められる基準に適合する体制を、外国の事業者が整備している場合は、越境移転が可能である。この基準は、これまで個人情報の取扱いを委託する事業者との契約で盛り込むことが望まれる事項として既存の経済産業分野のガイドライン等において規定されていたものと同等のものが想定される。今後公表される予定の個人情報保護委員会が定める規則およびガイドラインにおいて明らかとなる。
また、第三者への提供の例外とされる委託、共同利用、事業承継を行う事業者は、本Stepにおける基準に適合すれば、越境移転を行うことができる。
なおAPECの越境移転プライバシールール制度(CBPR制度)*3に基づく認証資格を有していれば、委員会基準に適合するものとされている*4。
つまり、外国の事業者がCBPR認証を取得していれば、問題なく越境移転が可能となる。こうした国際的な認証制度は、今後、環太平洋パートナーシップ(TPP)協定のアジェンダにもなり得るもので、その動向が注目される。
Step3 第三者への提供の制限の例外事由に該当するか?
従来からも規定されていた第三者への提供の制限の例外事由(23条1項各号)に該当する場合は、本人の同意がなくても、越境移転が認められる。
■23条1項各号の概要
- 法令に基づく場合
- 人の生命・身体又は財産の保護の為に必要であって、本人の同意を得ることが困難な場合
- 公衆衛生・児童の健全な育成のために必要であって、本人の同意を得ることが困難な場合
- 国・自治体の事務への遂行への協力に必要な場合
上述のStep1~3でいずれも該当しなかった場合は、あらかじめ、外国に所在する事業者へ個人情報を移転することについて、本人から同意を取得しなければならない。この同意取得に当たって、本人に対して通知する内容に、移転先の国名や第三者の名称まで含めるべきか否か等ついては、個人情報保護委員会によるガイドライン等で明確化すべきという議論がある*5。
図表1:外国にある第三者への提供(法24条関係)に係る規制対応の判断フロー
出所)改正個人情報保護法24条を基に作成
