海外の事業者に対する個人情報保護法の域外適用
IT・情報セキュリティ個人情報保護法の改正により、日本国外の事業者に対しても個人情報保護法の規定が域外適用されることになるのですか。
国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した事業者が、外国において当該個人情報または当該個人情報を用いて作成した匿名個人情報を取り扱う場合にも適用されることになります。
解説
※本QAの凡例は注の通りです1。
改正の背景
近時、インターネット等を通じて、日本国外から、日本国内にいる消費者へ向けて、商品やサービス(役務)を提供する事業者が増えてきています。
しかしながら、改正前の個人情報保護法においては、日本国内においてのみその効力があると考えられています。このような状況下では、日本国内の消費者(個人)の個人情報が濫用的に扱われてしまうおそれがあります。
そこで、日本国外から商品・サービスを提供する事業者に対しても、個人情報保護法上の個人情報取扱事業者としての規律を適用しようというのが改正の目的です。
また、EUデータ保護指令において、日本がEUから「十分性の認定」を得るために必要な要件の一つとして、「越境データ移転に関する規律」について定める必要があることも改正の背景です。
改正内容
国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した事業者が、外国において当該個人情報または当該個人情報を用いて作成した匿名個人情報を取り扱う場合にも以下の規定が適用されることになります(改正個人情報保護法75条)。
- 利用目的の特定(15条)
- 利用目的による制限(16条)
- 取得に際しての利用目的の通知・公表(18条1項)
- データ内容の正確性の確保等(19条)
- 安全管理措置(20条)
- 従業者の監督(21条)
- 委託先の監督(22条)
- 第三者提供の制限(23条)
- 外国にある第三者への提供の制限(24条)
- 第三者提供に係る記録の作成等(25条)
- 保有個人データに関する事項の公表等(27条)
- 保有個人データの開示(28条)
- 保有個人データの訂正等(29条)
- 保有個人データの利用停止等(30条)
- 理由の説明(31条)
- 開示等の請求等に応じる手続(32条)
- 手数料(33条)
- 事前の請求(34条)
- 個人情報取扱事業者による苦情の処理(35条)
- 匿名加工情報の作成等(36条)
- 指導および助言(41条)
- 勧告および命令(42条1項)
- 個人情報保護委員会の権限の行使の制限(43条)
- 適用除外(76条)
適用範囲
本条は、外国に拠点があることを明文の要件としていませんが、「外国において日本にある者から取得した個人情報やその個人情報から作成した匿名加工情報を取り扱う」場合に適用されるので、基本的には「外国に活動拠点がある事業者」に適用されます。
改正個人情報保護法75条は、外国の事業者が日本国内の個人から直接個人情報を取得する場合を想定しており、外国の事業者が日本国内の事業者から個人データを取得する場合は対象としていないことに留意する必要があります(これは個人情報保護法24条の外国にある第三者への提供制限の問題となります)。
なお、海外から日本国内に駐在している者が、インターネットを通じて海外のサイトで商品・サービスの提供を受ける場合にも改正個人情報保護法75条の適用があるのかについては疑問が残ります。ウェブサイトが外国語で記載されており、日本人の顧客を想定していないような場合についてまで本条の適用はないのではないかと考えられます。
-
- 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー