【令和2年改正対応】基準適合体制を整備している外国の第三者へ個人データを移転する際にやるべきこととは
IT・情報セキュリティ個人情報保護法施行規則16条に定める基準に適合する体制を整備している外国の第三者へ個人データを移転する際、やるべきことについて教えてください。
個人情報取扱事業者は、基準適合体制を整備している外国にある第三者に対して個人データを提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければなりません。
解説
目次
「外国第三者提供編ガイドライン」
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年11月30日個人情報保護委員会告示第7号)のこと。
※本稿における改正法、施行規則の条文番号は、令和3年改正による改正後の条文番号です。
総論(外国第三者提供編ガイドライン6)
個人情報取扱事業者は、個人情報保護法施行規則16条に定める基準に適合する体制(以下「基準適合体制」という)を整備している外国にある第三者に対して個人データを提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を本人に提供しなければなりません(個人情報保護法28条3項)。
下記図表真ん中の説明に該当します。
個人情報保護法28条3項は、提供先が基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した場合、個人情報取扱事業者には、提供後も当該第三者による当該個人データの適正な取扱いを継続的に確保する責務があることを明確化するものです。
そのため、個人情報取扱事業者は、当該第三者において当該個人データの取扱いが継続する限り、個人情報保護法28条3項に基づく措置等を講ずる必要があります。
なお、下記の場合、個人情報保護法28条3項の義務は、原則として委託先に課されると考えられます。
委託元が、国内にある委託先に対して個人情報保護法27条5項1号に基づき個人データの取扱いを委託し、委託先が取得した個人データを、外国にある事業者に対して再委託に伴って再提供する。
条件:
委託先(国内にある事業者)と再委託先(外国にある事業者)との間の契約等により、個人情報保護法施行規則16条第1号の基準を満たすための「個人情報保護法第4章第2節の規定の趣旨に沿った措置」の実施が確保されていること。
この場合でも、委託元は委託先に対する監督義務を負うため(個人情報保護法25条)、委託先が再委託先に対して必要かつ適切な監督を行っているか等について、適切に把握し監督する必要があります。(ガイドラインパブコメ回答(概要)51番)
ただし、上記の制度趣旨に鑑み、個人情報取扱事業者が本人の同意を根拠として外国にある第三者に個人データを提供した場合には、当該第三者が基準適合体制を整備していると認められる場合であっても、個人情報保護法28条3項に基づく措置等は求められません。
個人情報保護法28条3項の規定は、個人情報取扱事業者が令和2年改正法の施行日以後に同項に規定する外国にある第三者に個人データを提供した場合について適用されます(令和2年改正法附則4条2項)。
相当措置の継続的な実施を確保するために必要な措置とは(個人情報保護法施行規則18条1項、外国第三者提供編ガイドライン6-1)
個人情報取扱事業者は、提供先が基準適合体制を整備していることを根拠として外国にある第三者に個人データを提供した場合、当該第三者による相当措置の継続的な実施を確保するために「必要な措置」として、次の①および②の措置を講じなければなりません。
- 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること(個人情報保護法施行規則18条1項1号)
- 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること(個人情報保護法施行規則18条1項2号)
当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること(個人情報保護法施行規則18条1項1号)
個人情報取扱事業者は、個人データの提供先である外国にある第三者による相当措置の実施状況ならびに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無および内容を、適切かつ合理的な方法により、定期的に確認しなければなりません。
ここでいう「定期的に確認」とは、年に1回程度またはそれ以上の頻度で確認することをいいます。
相当措置の実施状況は、外国にある第三者に提供する個人データの内容や規模に応じて、適切かつ合理的な方法により確認する必要がありますが、たとえば、個人データを取り扱う場所に赴く方法、書面により報告を受ける方法またはこれらに代わる合理的な方法(口頭による確認を含む)により確認することが考えられます。
なお、提供先である外国にある第三者において相当措置を実施すべき対象は、個人情報取扱事業者が実際に提供を行った「個人データ」であることから、相当措置の実施状況の確認においても、提供先で取り扱っている他の個人情報の取扱いについてまで確認することが求められているものではありません。
事例 1
外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合は、当該契約の履行状況を確認すること
事例 2
同一の企業グループ内で個人データを移転する場合において、提供元及び提供先に共通して適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整備している場合は、当該プライバシーポリシーの履行状況を確認すること
外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無および内容は、一般的な注意力をもって適切かつ合理的な方法により確認する必要があります。たとえば、当該第三者に対して照会する方法や、我が国または外国の行政機関等が公表している情報を確認する方法が考えられます。
事例1
事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
事例2
事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度
事例1に関しては、中国の国家情報保護法7条に基づく中国の「組織」および「公民」の国家情報活動への協力義務がこれに該当しないかが問題となり得ます。
事例2に関しては、中国のサイバーセキュリティ法37条において「個人データ」および「重要データ」を中国国内に保管する義務を課していることや、ロシアの連邦法152-FZ(個人情報保護法)が個人データをロシア連邦内に所在するデータベースに保管等することを求めていることがこれに該当しないかが問題となります。
当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること(個人情報保護法施行規則18条1項2号)
個人情報取扱事業者は、個人データの提供先である外国にある第三者による相当措置の実施に支障が生じたときは、当該支障の解消または改善のために必要かつ適切な措置を講じなければなりません。
事例
日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請すること
「必要かつ適切な措置」の一環として、当該提供先による相当措置の継続的な実施の確保が困難となり、すでに提供された個人データについて、我が国の個人情報取扱事業者により個人データが取り扱われる場合に相当する程度の本人の権利利益の保護の確保が困難となった場合には、提供元の事業者は、当該提供先に対し、当該個人データの返還または削除を求める必要があると考えられます。
提供元の事業者が、当該提供先に対して個人情報保護法27条5項1号に基づいて個人データの提供を行っている場合、当該提供先に対する監督義務を負うので(個人情報保護法25条)、当該提供先による当該個人データの安全管理の確保が困難となっているにもかかわらず、提供元の事業者が当該提供先に対して当該個人データの返還または削除を求めない場合には、提供元の事業者の監督義務違反となる可能性があります(ガイドラインパブコメ回答(概要)52番)。
また、外国にある第三者による相当措置の継続的な実施の確保が困難となった場合、当該第三者は、実質的に、基準適合体制を整備しているとはいえないと考えられることから、それ以降、当該第三者への個人データの提供を停止しなければなりません。
事例1
日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備しており、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請したにもかかわらず、当該提供先が合理的な期間内に是正しない場合
事例2
外国にある事業者において日本にある個人情報取扱事業者から提供を受けた個人データに係る重大な漏えい等が発生した後、同様の漏えい等の発生を防止するための必要かつ適切な再発防止策が講じられていない場合
相当措置の継続的な実施を確保するために必要な措置に関する情報提供とは(個人情報保護法施行規則18条2項・3項、外国第三者提供編ガイドライン6-2)
個人情報取扱事業者は、基準適合体制を整備している外国にある第三者に対して個人データを提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければなりません。
情報提供の方法(個人情報保護法施行規則18条2項、外国第三者提供編ガイドライン6-2-1)
本人に対する情報提供は、個人情報保護法施行規則18条3項の規定により本人への提供が求められる情報を本人が確実に認識できると考えられる適切な方法で行う必要があります。なお、提供する情報は本人にとって分かりやすいものであることが重要です。
事例 1
必要な情報を電子メールにより本人に送付する方法
事例 2
必要な情報を記載した書面を本人に直接交付する方法
事例 3
必要な情報を本人に口頭で説明する方法
事例 4
必要な情報をホームページに掲載し、本人に閲覧させる方法
提供すべき情報(個人情報保護法施行規則18条3項、外国第三者提供編ガイドライン6-2-2)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、遅滞なく、次の①から⑦までの情報を本人に提供しなければなりません。
- 当該第三者による個人情報保護法28条1項に規定する体制の整備の方法
- 当該第三者が実施する相当措置の概要
- 個人情報保護法施行規則18条1項1号の規定による確認(当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその内容を、適切かつ合理的な方法により、定期的に確認すること)の頻度および方法
- 当該外国の名称
- 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその概要
- 当該第三者による相当措置の実施に関する支障の有無およびその概要
- 上記⑥の支障に関して個人情報保護法施行規則18条1項2号の規定により当該個人情報取扱事業者が講ずる措置の概要(必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(個人情報保護法31条2項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること)
ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部または一部を提供しないことができます。
事例
同一の本人から複雑な対応を要する同一内容について繰り返し情報提供の求めがあり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
(1)当該第三者による個人情報保護法28条1項に規定する体制の整備の方法(個人情報保護法施行規則18条3項1号)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、個人データの提供先である外国にある第三者が基準適合体制を整備する方法について情報提供しなければなりません。
ケース:
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合
事例:
「提供先との契約」である旨の情報提供を行うこと
(2)当該第三者が実施する相当措置の概要(個人情報保護法施行規則18条3項2号)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、個人データの提供先である外国にある第三者が実施する相当措置の概要について情報提供しなければなりません。
提供すべき情報は、個々の事例ごとに判断されるべきであるが、当該外国にある第三者において、個人情報保護法第4章第2節の規定の趣旨に沿った措置がどのように確保されているかがわかるような情報を提供する必要があります。
なお、個人情報取扱事業者が当該外国にある第三者との間で締結している契約等の全ての規定の概要についての情報提供を求めるものではありません。
ケース:
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元および提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合
事例:
「契約において、特定した利用目的の範囲内で個人データを取り扱う旨、不適正利用の禁止、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託の禁止、漏えい等が発生した場合には提供元が個人情報保護委員会への報告および本人通知を行う旨、個人データの第三者提供の禁止等を定めている」旨の情報提供を行うこと
(3)個人情報保護法施行規則18条1項1号の規定による確認の頻度および方法(個人情報保護法施行規則18条3項3号)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、個人データの提供先である外国にある第三者による相当措置の実施状況ならびに当該相当措置の実施に影響を及ぼすおそれのある制度の有無およびその内容の確認に関して、その方法および頻度について情報提供しなければなりません。
なお、外国にある第三者による相当措置の実施状況の確認の方法および頻度と、当該相当措置の実施に影響を及ぼすおそれのある制度の有無およびその内容の確認の方法および頻度が異なる場合には、それぞれについて情報提供する必要があります。
事例
- 外国にある第三者による相当措置の実施状況についての確認の方法および頻度
「毎年、書面による報告を受ける形で確認している」旨の情報提供を行うこと - 当該相当措置の実施に影響を及ぼすおそれのある制度の有無及びその内容の確認の方法および頻度
「毎年、我が国の行政機関等が公表している情報を確認している」旨の情報提供を行うこと
(4)当該外国の名称(個人情報保護法施行規則11条の4【18条】第3項4号)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、個人データの提供先の第三者が所在する外国(本邦の域外にある国または地域をいい、我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるもの(現時点ではEU加盟国および英国)を除く)の名称について情報提供しなければなりません。
必ずしも正式名称を求めるものではありませんが、本人が自己の個人データの移転先を合理的に認識できると考えられる形で情報提供を行う必要があります。
ここでいう「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められません。
もっとも、本人が外国にある第三者における自己の個人データの取扱状況等について把握できるようにするという制度趣旨を踏まえると、たとえば、州法において外国にある第三者による相当措置の実施に影響を及ぼすおそれのある制度が存在する等、州法に関する情報提供が本人による当該第三者における個人データの取扱状況等の把握に資する場合(たとえばカリフォルニア州の消費者プライバシー法等)には、当該第三者が所在する州を示したうえで、当該制度についても情報提供を行うことが望ましいです。
(5)当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその概要(個人情報保護法施行規則18条3項5号)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、個人データの提供先である外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要について情報提供しなければなりません。
事例 1
「事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度が存在する」旨の情報提供を行うこと
事例 2
「事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度が存在する」旨の情報提供を行うこと
事例1に関しては、中国の国家情報保護法7条に基づく中国の「組織」および「公民」の国家情報活動への協力義務がこれに該当しないかが問題となり得ます。
事例2に関しては、中国のサイバーセキュリティ法37条において「個人データ」および「重要データ」を中国国内に保管する義務を課していることや、ロシアの連邦法152-FZ(個人情報保護法)が個人データをロシア連邦内に所在するデータベースに保管等することを求めていることがこれに該当しないかが問題となります。
(6)当該第三者による相当措置の実施に関する支障の有無およびその概要(個人情報保護法施行規則18条3項6号)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めを受けた場合には、当該第三者による相当措置の実施に関する支障の有無およびその概要に関する情報を本人に提供しなければなりません。
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元および提供先間の契約を締結することにより、当該提供先の基準適合体制を整備しているものの、当該提供先が当該契約において特定された利用目的の範囲を超えて、当該個人データを取り扱っていた場合
事例:
「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていた」旨の情報提供を行う
(7)上記(6)の支障に関して個人情報保護法施行規則18条1項2号の規定により当該個人情報取扱事業者が講ずる措置の概要(規則18条3項7号)
個人データの提供先である外国にある第三者による相当措置の実施に支障が生じた場合において、当該支障の解消・改善のために提供元の個人情報取扱事業者が講ずる措置の概要について情報提供しなければなりません。
ケース:
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元および提供先間の契約を締結することにより、当該提供先の基準適合体制を整備しているものの、当該提供先が当該契約において特定された利用目的の範囲を超えて、当該個人データを取り扱っていた場合
事例 1
「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請した」旨の情報提供を行うこと
事例 2
「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請したものの、これが合理的期間内に是正されず、相当措置の継続的な実施の確保が困難であるため、〇年〇月〇日以降、個人データの提供を停止した上で、既に提供した個人データについて削除を求めている」旨の情報提供を行うこと
情報提供しない旨の決定を行った際の通知等(規則18条4項・5項、外国第三者提供編ガイドライン6-2-3)
個人情報取扱事業者は、個人情報保護法28条3項の規定による本人の求めに係る情報の全部または一部について情報提供しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければなりません(個人情報保護法施行規則18条4項)。
この場合、個人情報取扱事業者は、本人に対し、情報提供をしない理由を説明するよう努めなければなりません(同条5項)。
- 関連書籍
- 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
- 著者:渡邉 雅之
- 定価:本体 3,200円+税
- 出版社:第一法規
- 発売年月:2021年9月
令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー