令和2年改正個人情報保護法による外国事業者への域外適用に関する改正のポイント

IT・情報セキュリティ 公開 更新

 令和2年改正個人情報保護法では、域外適用に関する規定についてはどのような改正がなされますか。

 改正法では、外国事業者に対しても個人情報保護委員会からの報告徴収、命令ができるようになり、国内事業者とのイコールフッティング(条件の同一化)が図られます。改正の主な方向性は以下のとおりです。

  • 日本国内にある者に係る個人情報、個人関連情報、仮名加工情報または匿名加工情報を取り扱う外国の事業者を、罰則によって担保された報告徴収および命令の対象とする。
  • 個人情報保護委員会による外国の事業者に対する立入検査を可能とする。
  • 事業者が命令に従わなかった場合には、その旨を個人情報保護委員会が公表できることとする。
  • 国内外の事業者に対して実効的に権限を行使し、かつ、適正手続を担保するため、領事送達・公示送達等の送達に関する手続を具体化している。
  • 外国主権との関係から、他国の同意がない限り、他国領域内における公権力の行使はできないため、必要に応じて、外国当局との執行協力を行っていく。
  • GDPRのような代理人の設置義務は求められていない。

解説

目次

  1. 法文上の規律
    1. 域外適用(改正法75条【166条/171条】、通則編ガイドライン5-1)(改正)
    2. 報告および立入検査(改正法40条【143条/146条】1項)(改正)
    3. 命令違反の公表(改正法42条【145条/148条】4項)(新設)
    4. 送達等の規定の整備(改正法58条の2【158条/161条】から改正法58条の5【161条/164条】まで)
    5. 国際約束の誠実な履行等(改正法78条の2【168条/173条】)(新設)
    6. 施行期日
  2. 政府参考人答弁(衆議院内閣委員会(令和2年(2020年)5月22日))
  3. 代理人の設置義務
  4. まとめ
<編注>
2021年9月29日:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、令和2年改正法)の公布を踏まえ、記事の全体について加筆、修正しました。

また、本記事の凡例は以下のとおりです。
  • 改正法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく改正後の個人情報保護法
本稿内において【】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の条番号です。

法文上の規律

域外適用(改正法75条【166条/171条】、通則編ガイドライン5-1)(改正)

(1)総論

 個人情報保護法は、「個人情報取扱事業者等 1」が、国内にある者に対する物品または役務の提供に関連して、以下の情報を、外国において取り扱う場合についても、適用されます(改正法75条)。

  • 国内にある者を本人とする個人情報
  • 当該個人情報として取得されることとなる個人関連情報
  • 当該個人情報を用いて作成された仮名加工情報もしくは匿名加工情報

 本規定は、平成27年改正で設けられましたが、令和2年改正により、外国にある「個人関連情報取扱事業者」および「仮名加工情報取扱事業者」に関する規律についても域外適用されることになります(改正法75条)。
 改正法75条【166条/171条】により法の適用を受ける外国事業者が、法に違反した場合には、個人情報保護委員会が指導、助言、勧告または命令等を行うことができます(改正法41条、42条 2)。

(2)「外国にある個人情報取扱事業者」

 「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下、通則編ガイドライン)によれば、改正法75条の規定の対象は、外国にのみ活動拠点を有する個人情報取扱事業者等(日本から海外に活動拠点を移転した個人情報取扱事業者等を含む)に限られず、たとえば、日本に支店や営業所等を有する個人情報取扱事業者等の外国にある本店、日本に本店を有する個人情報取扱事業者等の外国にある支店や営業所等も含まれます(通則編ガイドライン5-1(※1))。

(3)「物品または役務の提供」

 「物品または役務の提供」の対象となる「国内にある者」と「個人情報」の本人である「国内にある者」については、必ずしも同一である必要はありません。たとえば、外国にある個人情報取扱事業者が、国内にある者Aを本人とする個人情報が記載された名簿を国内にある者Bに販売することに関連して、当該個人情報を取り扱う場合、域外適用の対象となります(通則編ガイドライン5-1(※2))。
 また、「物品または役務の提供」に対して、本人から対価が支払われるか否かは問われません(通則編ガイドライン5-1(※3))。

(4)適用場面

 通則編ガイドライン5-1には以下のとおり、「域外適用の対象となる事例」および「域外適用の対象とならない事例」が記載されています。

【域外適用の対象となる事例】

事例1)外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売・配送に関連して、日本の消費者の個人情報を取り扱う場合


事例2)外国のメールサービス提供事業者が、日本の消費者に対するメールサービスの提供に関連して、日本の消費者の個人情報を取り扱う場合


事例3)外国のホテル事業者が、日本の消費者に対する現地の観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本にある旅行会社等から提供を受けた日本の消費者の個人情報を取り扱う場合


事例4)外国の広告関連事業者が、日本のインターネット通信販売事業者に対し、当該インターネット通信販売事業者による日本の消費者に対するキャンペーン情報の配信等のサービスの提供に関連して、当該インターネット通信販売事業者が保有する日本の消費者の個人データと結び付けることが想定される個人関連情報を提供する場合


事例5)外国のアプリ提供事業者が、日本の消費者に対するサービスの提供に関連して、新サービスの開発のために、日本の消費者の個人情報を用いて作成された仮名加工情報を取り扱う場合


事例6)外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売又はサービスの提供に関連して、傾向分析等を行うために、日本の消費者の個人情報を用いて作成された匿名加工情報を取り扱う場合


【域外適用の対象とならない事例】

事例)外国にある親会社が、グループ会社の従業員情報の管理のため、日本にある子会社の従業員の個人情報を取り扱う場合(※)


(※)日本にある子会社が外国にある親会社に対して従業員の個人データを提供するためには、改正法24条【28条】に従い、本人の同意を取得するなど外国にある第三者に個人データを提供するための措置を講ずる必要があります。

報告および立入検査(改正法40条【143条/146条】1項)(改正)

 個人情報保護委員会は、改正法4章の1節から4節の規定の施行に必要な限度において、「個人情報取扱事業者等」その他の関係者に対し、個人情報、個人関連情報、仮名加工情報または匿名加工情報(以下「個人情報等」という)の取扱いに関し、必要な報告もしくは資料の提出を求め、またはその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、もしくは帳簿書類その他の物件を検査させることができます(下線部が改正箇所)。

 改正法により、(外国にある者も含め)「個人関連情報取扱事業者」および「仮名加工情報取扱事業者」による「個人関連情報」および「仮名加工情報」の取扱いも報告・立入検査の対象となります。
 また、「その他関係者」に対して報告・資料の提出を求め、「その他の関係者の事務所」も立入検査の対象となります。「その他の関係者」には個人情報取扱事業者である外国事業者の役職員が含まれ、「その他の関係者の事務所」には個人情報取扱事業者である外国事業者の国外の本支店が含まれるものと考えられます。「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下、制度改正大綱)では、個人情報保護委員会による外国の事業者に対する立入検査を可能とするとされているところです。

命令違反の公表(改正法42条【145条/148条】4項)(新設)

 個人情報保護委員会は、改正法42条2項または3項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等(個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者または匿名加工情報取扱事業者)がその命令に違反したときは、その旨を公表することができます。

送達等の規定の整備(改正法58条の2【158条/161条】から改正法58条の5【161条/164条】まで)

 国内外の個人情報取扱事業者等に対して実効的に権限を行使し、かつ、適正手続を担保するため、領事送達・公示送達等の送達に関する手続が規定されました(制度改正大綱6節2項)。

  • 改正法58条の2【158条/161条】(送達すべき書類)
  • 改正法58条の3【159条/162条】(送達に関する民事訴訟法の準用)
  • 改正法58条の4【160条/163条】(公示送達)
  • 改正法58条の5【161条/164条】(電子情報処理組織の使用)

国際約束の誠実な履行等(改正法78条の2【168条/173条】)(新設)

 改正法78条の2では、個人情報保護法の施行にあたっては、我が国が締結した条約その他の国際約束の誠実な履行を妨げることがないよう留意するとともに、確立された国際法規を遵守しなければならないと規定されています。
 制度改正大綱6節2項において、外国主権との関係から、他国の同意がない限り、他国領域内における公権力の行使はできないため、必要に応じて、外国当局との執行協力を行っていくとされていることに鑑みて置かれた規定であると考えられます。

施行期日

 上記1-1から1-5までの改正は、原則どおり、令和3年(2022年)4月1日に施行されます(令和2年改正法附則1条本文)。

政府参考人答弁(衆議院内閣委員会(令和2年(2020年)5月22日))

 域外適用に関する改正の趣旨については国会で以下のとおり答弁されています。

 今回の改正では、御紹介いただきましたとおり、外国事業者に対しても委員会からの報告徴収、命令ができるようになりまして、国内事業者とのイコールフッティングを図るものでございます。
 外国事業者が報告徴収や命令に違反した場合には罰則の適用もあり得ますけれども、日本の当局が外国で立入検査や取調べを行うことは、外国主権との関係でも困難な場合もございます。
 そのような場合に備えまして、今回の改正におきましては、事業者が命令に違反した場合には委員会がその旨を公表できるということにしておりまして、公表によって命令の実効性を担保することとしております。
 また、法律上、外国当局との執行協力もできることになっておりまして、こういったツールを使って監督の実効性を上げていきたいというふうに思います。
 これまでも委員会では外国事業者に対する指導や監督も行ってきておりまして、引き続きしっかり実効的な監督に取り組んでいきたいというふうに思います。

代理人の設置義務

 改正法ではGDPRのように、域外適用の場合、外国事業者が日本国内に代理人を置くような義務は設けられていません。

まとめ

 個人情報保護法の域外適用に関する改正は、個人情報保護委員会の行政処分権限などが及ぶようになる点は従前よりも日本国内の個人の個人情報の保護の観点で実効性が上がるものと考えられます。
 もっとも、GDPRや2021年11月に施行予定の中国の個人情報保護法のように代理人の設置義務は求められていませんので、その実効性は限定的であると考えられます。

令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

  1. 「個人情報取扱事業者等」とは、個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者または匿名加工情報取扱事業者をいいます(改正法40条1項)。 ↩︎

  2. 令和3年改正法により、令和4年5月18日までに施行される第1弾改正以降は144条、145条となります。令和5年5月18日までに施行される第2弾改正以降は、147条、148条となります。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する