2022年企業法務の展望
第3回 海外個人情報保護規制への対応2022 GDPR、中国個人情報保護法、CPRA等の法改正動向と実務のトレンド
IT・情報セキュリティ
シリーズ一覧全6件
目次
はじめに
グローバルビジネスを展開する企業にとって、海外の個人情報保護規制対応は頭の痛い問題です。
最新動向を把握し、現地当局による執行リスクやデータ主体からの訴訟リスクを評価して、リスクの高い法域の対応から優先的に進めるというリスク・ベースド・アプローチにより、自社にとって特に重要な法域の対応をしっかりと行うことが大事です。
以下のような項目を検討し、限られた時間、予算、人員をリスクに応じて計画的に配分!
- 国内の拠点の有無(重要な拠点があるところを優先)
- 当該法域の法規制の厳しさ、執行動向
- 処理するデータのセンシティブ度
- データ主体の数
- データ主体の性質
- 処理するデータの利用目的(データ主体の合理的期待に沿う or サプライズを与えるおそれがある)
- データ主体への影響度
- 「B to B」か「B to C」か、その他の業態
しかし、すべての法域の個別法令ごとに一つひとつ対応していこうとすると、あまりのTO DOの多さに途方に暮れてしまうということがあります。そこで本稿では、細かな各国制度 1 の解説をするのではなく、直近の注意すべき動向と、それに対する効率的な実務対応について解説したいと思います。
欧米およびアジア・BRICsにおける近時および2022年の主な法改正や制度変更
欧州
欧州では、GDPRの移転規制対応について、2021年6月に新SCC(標準契約条項)2 が公表されました。これにより、現時点でも既に、データ移転契約を新規に締結する場合には新SCCを使う必要があります。
旧SCCに基づいて過去に締結済みの契約は、2022年12月27日まで有効です。そのため、現時点ではまだ旧SCCを維持している企業もあるかと思いますが、この期限に向けた見直しが必須となることに注意が必要です。
また、GDPRの移転規制対応にあたっては、単に新SCCを締結するだけでは足りず、Schrems Ⅱ判決を踏まえた、いわゆるデータ移転影響評価(Transfer Impact Assessment)も必要となりますので注意すべきです 3。なお、GDPRおよび他の法域のデータ移転規制への実務対応については、3で後述します。
その他、欧州では、GDPRの特則であるeプライバシー指令に基づく各国法により、いわゆる厳格必須クッキーを除くクッキー等の利用にあたって、原則として同意が必須となっています。また、近時はクッキー等の規制に関する当局による執行が増えており、これは2022年も続くと考えられます。そのため、クッキーポリシーの整備とクッキー同意ツールの実装によって、クッキー等の種類ごとに個別のオプトイン同意を取得するという実務対応が、重要なTO DOの1つといえます。
米国
米国では、現時点においては連邦の包括的な個人情報保護規制はなく、特に注意が必要な州の包括的な個人情報保護規制として、CCPA(カリフォルニア州消費者プライバシー法)があります。
2020年11月3日には、CCPAについて規制を強化する(一部は緩和する)改正がなされ、CPRA(カリフォルニア州プライバシー権法)が成立しています。CPRAは2023年1月1日に施行される予定で、同年7月1日には、専任の当局であるカリフォルニア州プライバシー保護局(California Privacy Protection Agency)および州の司法長官による執行開始が予定されています。
CPRAは、CCPAとは異なり、従業員情報やBtoBの顧客情報について適用が猶予されないため、CCPAよりも多くの日本企業において対応が必須となる見通しです。また、CPRAは2022年1月1日以降に収集される個人情報に適用されることになるので注意が必要です。
CPRA・CCPAとGDPRの比較については、下表のとおりです。
CCPA・CPRA上の義務概要 GDPRとの比較の視点から
| 項目 | CCPA | CPRA | GDPR |
|---|---|---|---|
| 目的外利用の禁止 | 〇 (規則) |
〇 (明文) |
〇 |
| データ最小化・ 保存期間制限 |
× | 〇 | 〇 |
| 記録の保持 | 権利行使に関する記録保持義務のみ (いずれも規則だが、CPRA規則は未制定) |
データ処理全般について広範な記録保持義務 | |
| 情報通知/ プライバシーポリシー |
〇 (GDPRと記載項目 が異なる) |
〇 (CCPAよりも項目 が増加) |
〇 |
| データ収集 についての規制 |
通知 | すべてのデータ処理について、通知のみならず、適法化根拠が必要。センシティブ個人情報(特別カテゴリーの個人データ)については、適法化根拠が異なる(正当な利益が使えない) | |
| センシティブ個人情報 に関する規制 |
× | 消費者の特徴を推測する目的でのセンシティブ個人情報利用に制限権の導入 | |
| 第三者への「販売」・「共有」 | 「販売」について、 通知+原則オプトアウト(未成年者について、オプトイン) |
「販売」+「共有」について、 通知+原則オプトアウト (未成年者について、オプトイン規制を強化)&販売先・ 共有先と契約締結義務 | |
| 海外データ移転規制 | × | 〇 | |
| 委託先等との関係 | 「販売」の例外としてのサービス提供者との契約、「第三者」非該当のための契約者(責任引受者)との契約 | 「第三者」非該当のためのサービス提供者・契約者との契約の規制強化 | 処理者との契約締結・ 処理者の監督義務 |
| クッキーや広告ID等 によるクロスコンテクスト行動広告 |
原則として「販売」のオプトアウト対応を行うべきと解される | 「共有」のオプトアウト必須(クロスコンテクスト行動広告は、サービス提供者・契約者の利用不可) | オプトイン同意必須 |
| 安全管理措置 | △ (狭い個人情報について セキュリティ違反による漏えいについての私人提訴権) |
個人情報全般について明文化・私人提訴権の拡大(メールアドレス+パスワードまたは秘密の質問と答えの組み合わせにも拡大) | 個人データ全般に及ぶ |
| 高リスクの処理 についての評価 |
× | プライバシーとセキュリティに関する高いリスクのある処理を行う事業者に①年1回の サイバーセキュリティ監査の義務付けおよび②個人情報の処理についてのリスク評価をカリフォルニア州プライバシー保護局に定期的に提出することの義務付け | DPIA |
| データ侵害時の 当局報告・本人通知 |
別の州法で規定 | 〇 | |
| アクセス権 (知る要求) |
〇 (GDPRと例外や権利行使対応時のルールは異なる) |
〇 (アクセス権の対象を過去12か月以上にも拡大する規則制定が想定されている/世帯の情報は除外) |
〇 |
| 削除権 | 〇 (削除権行使時、販売先・共有先にも通知必要 /世帯の情報は除外) |
〇 | |
| 訂正請求権 | × | 〇 (新設。世帯の情報は除外) |
〇 |
| 自動化された 意思決定技術について |
× |
〇 (アクセス権+オプトアウト権が規則で定められる) |
〇 (完全に自動化された 意思決定は、原則オプトイン同意) |
| 権利行使を 理由とした差別 |
禁止 | ||
| 個人情報の取得、 販売、保持(削除) に関する経済的 インセンティブ |
通知+オプトイン同意が必要 | 同意は無効(解釈) | |
| オプトイン同意の定義 | × | GDPRと同様の定義 を明文化 |
厳格な定義 |
| 専任の当局 | × (カリフォルニア州 司法長官が担当) |
〇 (カリフォルニア州プライバシー保護局が新設) |
〇 |
| DPO・代理人 | × | 〇 | |
カリフォルニア州に引き続き、各州において包括的な個人情報保護に関する州法が整備される動きも広がっています(たとえば、ヴァージニア州のConsumer Data Protection Actは2023年1月1日に、コロラド州のColorado Privacy Actは2023年7月1日に施行されます)。
また、現時点では成立の具体的な目処は経っていないものの、連邦レベルでの包括的な個人情報保護規制についても法案は存在しており、成立の機運は高まっていますので、その動向にも注意が必要です。
中国
中国では、元々存在していたサイバーセキュリティ法に加えて、新たに、2021年に個人情報保護法およびデータセキュリティ法が成立して施行されており、既に一定の対応を講じている企業も多いかと思います。既に、下位規範の案も一部公表されていますが、2022年にはさらに下位規範も公表・施行されることが想定され、それに応じた対応が必要となることが見込まれます。
なお、中国個人情報保護法と日本法・GDPRについて簡単に比較したものが下表のとおりであり、中国個人情報保護法はGDPRにかなり近い厳格な規制となっていることがわかります。
中国個人情報保護法と日本法・GDPRの比較
| 項目 | 中国個人情報保護法 | 日本法 | GDPR |
|---|---|---|---|
| 目的外利用の禁止 | 〇(14条) | 〇(15条(17条)) | 〇(5条1項(b)) |
| データ最小化・ 保存期間制限 |
〇(6条・19条) | △(19条(22条)。期間制限のみであり、努力義務) | 〇(5条1項(c)(e)) |
| 記録の保持 | △(55条:個人情報影響評価の対象が広範で、対象になると記録が必要) | △(第三者提供記録のみ。25条(29条)・26条(30条)) | 〇(30条。データ処理全般について広範な記録保持義務) |
| 情報通知/ プライバシーポリシー等 |
〇(17条) | 〇(27条(32条)等。 ただし、遅滞なく回答を含む) |
〇(13条・14条) |
| データ収集 についての規制 |
原則同意主義(13条。例外はあるが、GDPRと異なり、正当な利益はない) | 要配慮個人情報以外 同意は不要 (17条(20条)) |
すべてのデータ処理について、通知のみならず、適法化根拠が必要だが、正当な利益等同意以外の根拠をできるだけ使うのが実務。 センシティブ個人情報(特別カテゴリーの個人データ)については、適法化根拠が異なる(正当な利益が使えない)(6条・9条) |
| センシティブ個人情報 に関する規制 |
原則同意主義(29条。30条で必要性と影響説明必要) | 原則同意主義 (17条(20条)2項) |
|
| 第三者提供 | 原則同意主義(23条) | 原則同意主義 (23条(27条)) |
|
| 越境移転規制 | ◎(厳格な規制。 38条以下) |
〇(24条(28条)。 改正で規制強化) |
〇(44条以下) |
| データローカライゼーション | 〇(40条) | × | × |
| 子どもの個人情報 | 14歳未満の場合、保護者の同意が必要(31条) | 同意が必要な処理の場合、一般的に12~15歳以下の場合法定代理人が同意(Q&A) | 一定の同意が必要な処理の場合、16歳未満(加盟国法で引き下げあり)の場合、親権者の同意が必要(8条) |
| 委託先(処理者) の監督義務 |
〇(21条・59条) | 〇(22条(25条)) | 〇(28条) |
| 安全管理措置 | 〇(9条・51条) | 〇(20条(23条)) | 〇(32条) |
| データ保護影響評価 | 〇(55条・56条。第三者提供・越境移転も対象となっている点で広範) | ×(法的義務としてはなし。改正明文化見送り) | 〇(DPIA:35条) |
| データ侵害時の 当局報告・本人通知 |
〇(57条) | 〇(改正法の22条の2(26条)で法定義務) | 〇(33条・34条) |
| 独立性のある DPO選任義務 |
× | × | 〇(38条) |
| 拠点がない場合の 代理人選任義務 |
〇(53条) | × | 〇(27条) |
| アクセス権 | 〇(45条) | 〇(28条(33条)) | 〇(15条) |
| 消去(削除)権 | 〇(47条) | 〇(30条(35条)) | 〇(17条) |
| 訂正請求権 | 〇(46条) | 〇(29条(34条)) | 〇(16条) |
| 処理の制限権・異議権 | 〇(44条) | 〇(30条(35条)) | 〇(18条・21条) |
| データポータビリティ権 | 〇(45条) | × | 〇(20条) |
| (完全に)自動化された意思決定に関する権利 | 〇(24条) | × | 〇(22条) |
| 同意の撤回権の明文 | 〇(15条) | × | 〇(7条) |
その他アジア・BRICsにおける動き等
タイでは、2019年にGDPR類似の個人情報保護規制が成立しています。これまで施行延期が繰り返されてきましたが、2022年6月1日に全面的施行予定となっています。
ほかには、インド・インドネシア・ベトナム等でも、包括的な個人情報保護規制の案が既に公表されています。これらについては、2022年中に成立・施行等されるかは未定ですが、動向の注視が必要です。
具体的な実務対応のトレンド
グローバルデータ保護規制対応のTO DOとしては、概ね下表のようなものがあげられます。すべての法域のすべての法令について完全な遵守をすることは難しいのが現実といえますので、実務上は、1で前述したリスク・ベースド・アプローチにおける考慮要素等を考慮して、個別対応する法域とTO DOの優先順位付けをすることが考えられます。
- 処理行為記録の作成
- 個人データの保存期間の見直し
- データ主体に対する情報通知/プライバシーポリシー作成
- 処理の法的根拠検討(例:GDPRにおいて、正当な利益を選択する場合のバランシングテストの実施を含む)/同意が必要な場合、同意の取得方法について検討し、同意を取得(例:GDPR上のクッキー同意、CCPAの経済的インセンティブについての同意、米国COPPA対応の保護者からの同意等)
- オプトアウト対応が必要な場合、対応を実装(例:CCPA・CPRAの「販売」・「共有」がある場合、オプトアウト対応(Do Not Sell or Share My Personal Informationページや消費者の特徴を推測する目的でのセンシティブ情報の利用がある場合、Limit the Use of My Sensitive Personal Informationページの準備等)
- データ処理者との間のデータ処理契約作成
- データ共有先との契約作成(例:CPRA:データの販売・共有先との契約、GDPR:共同管理者間の契約等)
- 移転規制への対応(データ輸出者と輸入者の間の契約の作成、データ移転影響評価等)
- 個人データ処理に関する内部規程の作成
- データ侵害時対応の整備 (体制・手順をまとめたマニュアル整備等)
- データ主体による権利行使対応の整備(対応窓口・フロー、マニュアル整備等)
- 代理人・DPO(データ保護責任者)の選任について検討し、必要な場合、選任
- DPIA(データ保護影響評価)の実施の要否について検討し、必要な場合、実施
- データセキュリティ対策についての検討・実施
- 社内トレーニングの準備
企業において近時増えている対応としては、リスク・ベースド・アプローチによると優先度が低いと考えられるために、法域ごとの個別対応をひとまずはしないこととした法域においても、まったくノーマークとするというわけではなく、グローバルスタンダードでの対応は行っておくことで、基本的には重大な問題はないような状態を作るというような対応です。
具体的には、たとえば主要なものとして、グループのグローバルプライバシーポリシーの整備・グローバル社内規程の整備・グループ間のグローバルデータ移転契約等の整備があげられます。
グローバルプライバシーポリシーの整備
グループのグローバルプライバシーポリシーについては、個別法域ごとにプライバシーポリシーを整備していくと数が膨大となり管理が難しくなります。そのため、多くの法域で必要とされるような要素を盛り込んだグローバルスタンダードとしてのポリシーをまず作成し、それで対応しきれない各法域特有の要素について、各法域ごとの別紙をつけることで対応する方法が考えられます。この方式は、事業展開や法整備の状況を踏まえて別紙を追加・修正していくことが可能ですので、維持していくことも比較的容易だといえます。
従前は、日本用・GDPR用・CCPA用といった形で、プライバシーポリシーを個別に整備していく方式が多かったといえます。しかし最近では、今後対応すべき法域が増えることを想定し、グローバルポリシーとして共通のものを本体に定めたうえで、GDPR用の特則・CCPA用の特則を別紙で定め、優先度が高い他の法域についても同様に別紙を作成するという方式が採用されることが増えています。
共通化する項目の例としては以下のようなものがあげられます。
- 適用対象事業者の名前・会社概要の住所・代表者氏名へのリンク
- 適用対象場面
- 本体と別紙の関係等
- 関係法令等の遵守の一般論
- 取得する個人データの種類
- 個人データの利用目的(日本法のガイドライン改正との関係に注意)
- 個人データの処理の法的根拠の一般論
- 個人データの情報源
- 個人データの共有先
- 外国への移転がある場合の一般的定め
- 権利行使対応についての一般的定め
- 個人データの保存期間・基準
- 安全管理措置の実施
- 子どもの個人データについての一般的定め
- クッキーについての一般的な定め(クッキーポリシーがある場合には、クッキーポリシーへリンク)
- ダイレクトマーケティングについての一般的な定め
- 日本法対応を本体でする場合:日本法特有の開示事項 4
- 事業者の連絡先(苦情申し出、権利行使対応窓口含む)
- ポリシーの変更方法
- 制定日・最終更新日
特則の例としては以下のようなものがあげられます。
- 処理の法的根拠
- 移転の法的根拠
- GDPR上の権利
- GDPR上の代理人の名称と連絡先・GDPR上のDPOの連絡先
CCPA用の特則の例
- 過去12か月以内に収集した個人情報の種類(CCPA所定のもの)
- 過去12か月以内の第三者への開示・販売等の状況
- CCPA上の権利
なお、1つの共通ポリシーに複数の別紙をつける方法ではなく、ポリシーの共通ひな形を作ったうえで、修正履歴付きで各国法対応のものを作成する方法もあります。この方法も、各国ごとにまったくバラバラに用意するよりはグループ全体で平仄をとりやすくなります。
また、実務上は、顧客向けのものと従業員向けのものは分けて作成する例が多いといえ、さらに別で、採用関連や株主向けを、顧客向けと分けて用意する例もあります。
グローバル社内規程の整備
プライバシーポリシーは、データ主体(=外部)向けのものですが、データ保護に関する社内規程についても整備が必要です。
こちらについても、プライバシーポリシーと同様、多くの個人情報保護規制で要求されるルールに応じたグローバル共通ルールを作ったうえで、特則として各国法対応の別紙を作成する方法や、特則として手当てが必要な部分について共通ルールに修正を加える形で、修正履歴付きで各国ごとの社内規程を管理しておく方法が考えられます。これにより、グループ全体を通じた社内規程の管理が容易になります。
グループ間グローバルデータ移転契約の整備
グループ間でグローバルに人事データや顧客データを移転するニーズが高まっていますが、その場合も各国の移転規制に対応することが必要となります。法域により規制はさまざまですが、多くの法域では、データ輸出者とデータ輸入者の間で、データ輸出者の国と同等レベルの保護を行うことを契約上約定し、それを遵守することにより個人データの移転が可能となります。
そこで、個人データの移転を相互に行うグループ間で、グループ間グローバルデータ移転契約を締結することが考えられます。移転のための契約については、たとえば、GDPRのSCCのようにフォーマットが指定されている法域もあります(タイ・ブラジル・中国等もこれに当たりますが、いずれの法域も現時点ではフォーマットは公表されていません)。しかし、日本を含めて、フォーマット自体の指定は特段ない国も多いといえます。
そこで考えられる方式としては、OECD8原則や日本の個人情報保護法等を参考にしたグローバルスタンダードをデータ輸入者が遵守するという基本契約を結び、特則として、フォーマットが指定されている法域のフォーマット(例:GDPR上のSCC)を、基本契約に優先するものとして別添するというものがあります。これにより、日本の外国にある第三者への移転規制の基準適合体制も整備できるうえ、各国の移転規制にも対応できることになります。
また、運用を容易にする工夫として、一般的に、後にグループに加入した企業にも効力を及ぼすことができるようにするための手当てを行ったり、変更の度に各グループ企業の間で逐一契約を結び直さずに、本社の方で事後的な修正ができるような委任を受けておくことが考えられます。
なお、このような移転契約によってすべての法域の移転規制に対応できるわけではなく、下表のように追加の対応が必要となる国があります。
データ移転にあたり契約以外の対応が必要となる国の例
| 中国 | 当局所定の契約のみならず本人同意も必要 さらに一定の場合には、「本人同意+契約」では足りず当局による安全評価も必要 |
|---|---|
| 韓国 | 契約のみならず本人同意も必要 |
| ロシア | 日本等の十分な保護水準の国への移転については、従業員データを除き規制対応は不要だが、 それ以外については本人同意が必要 |
| インドネシア | 本人同意と政府への報告が必要 |
グローバルビジネスを展開する企業がグローバルデータ保護規制対応に取り組むうえでは、上記のような手法を用いてできるだけ効率的な対応ができるような工夫をしておくことが有益と考えられます。本稿が、実務対応を検討するうえで役立てれば幸いです。
-
なお、グローバルの各国法の概要については、個人情報保護委員会は、日本の改正個人情報保護法の外国にある第三者提供規制対応のために、31の国と地域の個人情報保護制度に関する調査を行い、その結果をウェブサイト(「外国における個人情報の保護に関する制度等の調査」の項目)で公表しています。これは各国法の概要を知る1つの手がかりにもなるかと思います。追加調査でさらに9の国と地域が追加される見込みです(個人情報保護委員会事務局「外国における個人情報の保護に関する制度等の調査について」(令和4年2月10日))。 ↩︎
-
欧州委員会が決定したデータ移転契約のひな形。EU域外へ個人データを移転する場合に必要となる保護措置の1つ。 ↩︎
-
詳細については、拙稿「欧州域外データ移転に関するRecommendationsおよび新SCC案の解説 SchremsⅡ判決を受けたガバメントアクセス対応の観点を中心に」(共著)ビジネス法務2021年2月号26頁をご参照ください。 ↩︎
-
共同利用、匿名加工情報、仮名加工情報、個人関連情報、外国にある第三者を同意を根拠に行う場合の情報提供、認定個人情報保護団体、オプトアウトによる第三者提供等。 ↩︎
シリーズ一覧全6件
森・濱田松本法律事務所