個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」の利用場面
IT・情報セキュリティ個人情報保護委員会が作成・公表した「外国における個人情報の保護に関する制度等の調査」はどのような場面で利用できますか。
A 以下のような場面で利用することができます。
- プライバシーポリシーの安全管理措置の1つである「外的環境の把握」に関する情報
- 「外国にある第三者に個人データを提供する旨の同意」を取得する際の情報提供する際の情報(法28条2項)
- 外国にある第三者に個人データの提供を行うに際して「基準適合体制」を整備しており、本人の求めに応じて必要な措置に関する情報を提供する場合の情報(法28条3項)
解説
「通則編ガイドライン」
個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)のこと。
※本稿における改正法、施行規則の条文番号は、令和3年改正による改正後の条文番号です。
外国における個人情報の保護に関する制度等の調査結果
「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)(以下「令和2年改正法」という)では、外国にある第三者への個人データの提供の制限に係る規律が強化され、事業者から本人への情報提供の充実が求められることになりました。
これに関し、個人情報保護委員会は、令和4年4月1日に令和2年改正法が全面施行することに先立ち、事業者に参考となる情報を提供する観点から、本邦域外にある国または地域(個人情報保護委員会が改正前個人情報保護法24条に基づき「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」として告示で指定しているEU加盟国および英国を除く)のうち、個人情報保護委員会が実施した、「事業活動における個人データの越境移転の実態に関する調査」1 の結果を踏まえて選定した国または地域における個人情報の保護に関する制度等について調査をしました(西村あさひ法律事務所に調査委託「外国における個人情報の保護に関する制度等の調査結果報告書」 2(令和3年11月)参照)。
そのうえ、我が国の個人情報保護法との間の本質的な差異の把握に資する一定の情報を公表することとし、令和4年1月24日に31の国または地域に関する「情報提供文書」(令和4年1月25日更新)を公表しました。本稿の執筆時点で公表されている国・地域の情報提供文書は以下のとおりです。
また、個人情報保護委員会は、令和4年2月10日、以下の国・地域について追加で同様の調査を行うこととしています3 。
- イスラエル
- カタール
- コスタリカ
- チュニジア
- パナマ
- ペルー
- 南アフリカ
- モロッコ
- モンゴル
情報提供文書の記載項目
個人情報保護委員会が公表した31の国・地域の情報提供文書の記載項目は共通しており、いずれも下記のとおりです。
- 個人情報の保護に関する制度の有無
- 個人情報の保護に関する制度についての指標となり得る情報
(1)EUの十分性認定
EUの十分性認定を取得した国または地域は、個人情報保護委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定しているEU(EU加盟国および欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度であるGDPRまたはその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国または地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EUの十分性認定を取得した国または地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
(2)APECのCBPRシステム
APECのCBPRシステム参加の前提として、APECのプライバシーフレームワークに準拠した法令を有していること、およびCBPR認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じくAPECのCBPRシステムに参加しているエコノミーにおいては、APECのプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APECのCBPRシステム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APECのCBPRシステムの対象は、民間部門である。 - OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利
OECDプライバシーガイドライン8原則は、OECD加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。 - その他本人の権利利益に重大な影響を及ぼす可能性のある制度
- 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの(※データ・ローカライゼーション)
- 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの(※ガバメント・アクセス)
情報提供文書の利用場面
個人情報保護委員会の情報提供文書の利用場面としては、以下の場合が考えられます。
- プライバシーポリシーに保有個人データに関する事項の公表の1つである「安全管理措置」の1つとして「外的環境の把握」(通則編ガイドライン10-7)を記載する場合であって、保有個人データをクラウドサーバによって外国に保存する場合等には、保存している国における個人情報の保護に関する制度を説明するために個人情報保護委員会の情報提供文書のURLを記載する。
- 「外国にある第三者に個人データを提供する旨の同意」を取得する際の情報提供(法28条2項)として、同意取得書面等に、個人情報保護委員会の情報提供文書のURLを記載する。
※法28条2項の規定による情報提供の方法として、個人情報保護法施行規則17条の2項から4項までの規定により求められる情報が掲載されたWebページが存在する場合に、当該WebページのURLを自社のホームページに掲載し、当該URLに掲載された情報を本人に閲覧させる方法も、個人情報保護法施行規則17条1項における「適切な方法」に該当すると考えられるとされています。この場合であっても、たとえば、当該URLを本人にとって分かりやすい場所に掲載したうえで、同意の可否の判断の前提として、本人に対して当該情報の確認を明示的に求めるなど、本人が当該URLに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要があると考えられます。(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新、以下Q&A) Q12-10)
また、従業員が海外(EU加盟国・英国以外)のグループ現地法人に派遣する際に、当該現地法人に当該従業員の情報を提供する際に、個人情報保護委員会の情報提供文書を示して、当該従業員の同意を取得することも考えられます。 - 外国にある第三者に個人データの提供をするに際して「基準適合体制」を整備しており、「本人の求めに応じて必要な措置に関する情報を提供する方法」(法28条3項)として、ウェブサイトに個人情報保護委員会の情報提供文書のURLを記載する。
※法28条3項の規定による必要な措置に関する情報の本人への提供の方法として個人情報保護法施行規則18条3項の規定により求められる情報が掲載されたWebページが存在する場合に、当該WebページのURLを本人に対して提供する方法も、改正後の施行規則第18条2項における「適切な方法」に該当すると考えられるとされています。(Q&A Q12-19)
情報提供文書を利用する場合の留意点
個人情報保護委員会が公表している31の国・地域の情報提供文書には、文末に以下のとおり共通で留意文言が記載されています。
要するに、具体的な場面における適用事業者の利用にあたっては、補助的なものとして参照し、最終的な責任は事業者が負うべきであるということです。
- 個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。
また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。 - 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した2021年10月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。
- 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第 28 条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。
- 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
・個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
・個人情報の域内保存義務に係る制度に関する法令
・事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令 - 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること

- 関連書籍
- 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
- 著者:渡邉 雅之
- 定価:本体 3,200円+税
- 出版社:第一法規
- 発売年月:2021年9月
令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。
-
第175回個人情報保護委員会 資料2「事業活動における個人データの越境移転の実態に関する調査について(概要)」(令和3年6月9日) ↩︎
-
西村あさひ法律事務所「外国における個人情報の保護に関する制度等の調査結果報告書」(令和3年11月) ↩︎
-
「外国における個人情報の保護に関する制度等の調査について」(令和4年2月10日) ↩︎

弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー