【令和2年改正対応】越境データ移転(外国にある第三者への提供)に関する個人情報保護法改正のポイント

IT・情報セキュリティ 公開 更新

 令和4年4月1日に施行される個人情報保護法の改正により、越境データ移転(外国にある第三者への個人データの提供)に関するルールはどうなりますか。

 平成27年個人情報保護法改正(平成29年(2017年)5月30日施行)により、越境データ移転のための規律として、外国にある第三者への個人データの提供の制限に関する規律が設けられました。令和2年個人情報保護法改正(令和4年(2022年)4月1日施行)では、この規律をさらに強化し、移転元となる個人情報取扱事業者に対して本人の同意を根拠に移転する場合は、移転先事業者における個人情報の取扱いについて本人への情報提供の充実を求めることになりました。

 また、移転先事業者において継続的な適正取扱いを担保するための体制が整備されていることを条件に、本人の同意を得ることなく個人データを移転する場合は、本人の求めに応じて、移転先事業者における個人情報の取扱いに関する情報提供を行うことになります。

 なお、令和4年3月31日の改正法の施行前までの「外国にある第三者への提供の制限」は、個人情報保護法24条として規定されていましたが、令和4年4月1日に同日施行される令和3年改正法により、個人情報保護法28条となります。

※本稿における改正法の条文番号は、令和3年改正による改正後の条文番号です。

解説

目次

  1. 改正の背景
  2. 越境データ移転(外国にある第三者への提供)を行う個人情報取扱事業者に求められる対応
  3. 外国にある第三者への個人データの提供を認める旨の本人の同意を得る必要がない場合
<編注>
2021年4月12日:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、令和2年改正法)の施行等を踏まえ、記事の全体について加筆、修正しました。

改正の背景

 平成27年個人情報保護法改正(平成29年(2017年)5月30日施行)による改正前の個人情報保護法23条は、第三者に対する個人データの提供に関するルールを定めてはいましたが、第三者が国内にあるのか、外国にあるのかの区別をしていませんでした。

 しかし、経済・社会活動のグローバル化および情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきました。また、個人情報の保護に関する国際的な枠組み等との整合を図ること(GDPRによる十分性の認定を取得する等)を理由に、平成27年改正法による改正後の個人情報保護法24条(令和4年(2022年)4月1日以降は同法28条)に、新たに外国にある第三者に対する個人データの提供に関する規定が設けられました。

 さらに、海外への業務委託の一般化やビジネスモデルの複雑化が進み、個人情報の越境移転の機会が広がる中、個人データの越境移転に伴うリスクも変化しつつあります。

 データ保護関連法制については、多くの国々で、OECDプライバシー・ガイドラインに準拠する形で整備されてきましたが、近年、データ保護関連法制が途上国を含め世界に広がる中で、一部の国において国家管理的規制がみられるようになっています。データの国内での保存等を義務付けるデータ・ローカライゼーション(中国のサイバーセキュリティ法やロシアの連邦法152-FZ(個人情報保護法)等)や、民間のデータに対する制限のないガバメント・アクセスに係る海外の立法例(中国の国家情報法等)はその一例と考えられます。

 個人情報の越境移転の機会が広がる中、こうした国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものとし、個人の権利利益の保護の観点からの懸念も生じます。

 たとえば、データ・ローカライゼーション政策との関係から、本人による個人データの消去の請求に越境移転先の事業者が対応することができないおそれや、外国政府による無制限なガバメント・アクセスによって、日本で取得され越境移転された個人データが不適切に利用されるおそれがあります。こうした国家管理的規制は、個人の権利利益の保護の観点から看過しがたいリスクをもたらす可能性があります。

 このようなリスクの変化に対応する観点から、令和2年個人情報保護法改正により、個人データの越境移転に関する本人への情報提供の充実等が求められることとなりました。

越境データ移転(外国にある第三者への提供)を行う個人情報取扱事業者に求められる対応

 移転元となる個人情報取扱事業者に対して下記の対応が求められます。

【本人の同意を根拠に移転する場合】
移転先事業者における個人情報の取扱い(例:移転先国の名称や個人情報の保護に関する制度の有無など)に関して、本人への情報提供の充実を求める(個人情報保護法28条2項、3項)。

【本人の同意を得ることなく個人データを移転する場合】
移転先事業者において継続的な適正取扱いを担保するための体制が整備されていることが条件。本人の求めに応じて、移転先事業者における個人情報の取扱いに関する情報提供を行う。

外国にある第三者への個人データの提供を認める旨の本人の同意を得る必要がない場合

 個人情報取扱事業者は、個人データを外国にある第三者に提供するにあたっては、個人情報保護法28条1項に従い、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要があります。

ただし、次の(1)から(3)までのいずれかに該当する場合は例外となり、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要はありません。

(1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則で定める国にある場合(改正により、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならなくなります)。


(2)当該第三者が、個人データの取扱いについて個人情報保護法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(「相当措置」)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している場合(改正により、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならなくなります)。


(3)次の①から④までのいずれかに該当する場合(公益的理由による例外)(個人情報保護法27条1項各号関係)


① 法令(※日本の法令に限られる)に基づいて個人データを提供する場合(同条1号)


② 人(法人を含む)の生命、身体または財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(同条2号)


③ 公衆衛生の向上または心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(同条3号)


④ 国の機関等が法令(日本の法令に限られる)の定める事務を実施するうえで、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(同条4号)


⑤ 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く)(※改正により新設)


⑥ 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る)(※改正により新設)


⑦ 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)(※改正により新設)


 あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得た場合、および、上記(3)の①から⑦までに該当する場合には、外国にある第三者への提供が認められることになります。

 上記(1)および(2)に該当する場合には、これだけで外国にある第三者への提供が認められることにはならず、当該第三者への個人データの提供にあたっては、個人情報保護法27条が定める、次の①から④のいずれかの方法による必要があります。

  1. 本人の同意に基づき提供する方法(個人情報保護法27条1項柱書)
  2. 個人情報保護法27条1項各号に掲げる場合により提供する方法
  3. オプトアウトにより提供する方法(個人情報保護法27条2項)
  4. 委託、事業承継または共同利用に伴って提供する方法(個人情報保護法27条5項各号)


外国にある第三者への個人データの提供に関するフロー図

外国にある第三者への個人データの提供に関するフロー図


外国にある第三者に個人データを提供する3つの場合(改正後)

外国にある第三者に個人データを提供する3つの場合(改正後)

出所:個人情報保護委員会作成資料を修正のうえ編集部作成
令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する