個人データの越境移転に関する個人情報保護法の規定を取上げます。
越境データの問題
企業活動がグローバル化し、多くのデータが国境を超えて流通しています。EUをはじめとする諸外国では、越境データの流通を規制するデータローカライゼーションに関する法規制が整備されているところもあります。
一方で、日本の個人情報保護法には個人データの越境移転に関する規定はありませんでした。しかし、クラウドサービスの普及により、海外のサーバーに個人データを保存・管理するなど、本人の知らないところで、個人データが越境移転していることが増大しています。
そこで、改正個人情報保護法で、越境データに関する規定が新設されるに至りました。
(外国にある第三者への提供の制限)
第二十八条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
越境データの移転に関する規制には、いくつの類型があります。改正個人情報保護法は、原則として越境データ移転を禁止し、国や地域ごとに移転の可否を判断する類型を採用しています。これは、EUの個人データ保護指令に倣ったもので、個人情報保護制度が不十分な国・地域に個人データが移転すること防止するのに、最も適した仕組みだと考えられます。
ただし、例外を設けることで、適正な越境データの移転を妨げないように配慮をしています。例外は、①事前の本人の同意がある場合と、②本人の同意なしに越境データの移転が認められる場合の2つ規定しています。
外国にある第三者
個人データの提供者と個人データの本人以外の者であって、外国に所在する者を意味します。
法人の場合、提供者と法人格が同じであれば第三者に該当しません。国内で取得した個人データを同一事業者の海外支店に提供する場合は、この規定は適用されません。また、海外にサーバーが設置されていも、そのサーバーが国内の日本企業の者である場合もサーバー内の個人データは日本企業による個人データの取扱いと解されます。
日本の親会社が外国の子会社に個人データを提出する場合は、法人格が異なるため、外国にある第三者への提供になり、この規定が適用されます。
個人の権利利益を保護する上で我が国と同等水準にあると認められる個人情報の保護に関する制度を有している外国
越境データの移転規制の例外の一つです。越境データの移転を行うのに、本人の同意が常に必要だとするのは、過剰な規制となることから、日本と同等の個人情報保護の水準にあると認められる外国の第三者については、本人の同意なしに個人データを移転することができます。この要件を満たしているかどうかは、個人情報保護委員会規則で定めることになっています。
個人情報取扱事業者が講ずべきとされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者
越境データの移転規制の例外の一つです。越境データの移転を本人の同意又は上記の場合に限定すると、個人データが膨大で本人の同意を得ることが困難な場合や日本と同水準の個人情報の保護に関する制度を有していることの認定までの間は、個人データの移転が不可能になり、過大な制約になります。そこで越境データの移転に配慮しこの要件を満たす場合は、本人の同意なしに個人データを越境移転することができます。
この要件を満たすのは、以下の2つの場合です。
国際的な枠組みとしては、APEC/CBPRに基づく認証等を受けていることが想定されています。
この場合においては,同条の規定は適用しない
同条とは,個人情報保護法27条を指しています(個人データの第三者提供参照)。要するに,本人の外国にある第三者への個人データの提供への同意がある場合は,第三者への提供の同意があることになるので,27条の規定は適用されないという規定です。
27条の適用がないので,オプトアウト方式による個人データの提供は,越境データの移転については認められていません。また,委託,事業承継,共同利用の場合に第三者提供に該当しないとの規定も適用されません。
もっとも,27条の適用がないのは,本人の同意がある場合に限られます。上記2つの例外の場合は,27条が適用され,オプトアウト方式による第三者提供が可能です。委託,事業承継,共同利用の場合に第三者提供に該当しないので,本人の同意は不要となります。