毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2022年2月3日
  • タイトル:外国にある第三者への個人データの提供
  • 発表者:データサイン 取締役CPO(Chief Product Officer)坂本一仁

個人データの越境移転に関する対応は必要なの?

個人情報保護委員会が2022年1月25日に、「外国における個人情報の保護に関する制度等の調査結果」を公表しました。こちらの情報は、2022年4月1日施行の改正個人情報保護法(以下、令和2年改正法)における、「外国にある第三者への個人データの提供を認める旨の本人の同意」の対応に役立ちます。データサイン 取締役CPO 坂本一仁が解説しました。

令和2年改正法についてのガイドラインには「外国にある第三者への提供編」があります。その目的は「個人データの越境移転に関する本人への情報提供の充実と同意」です。

さて、外国にある第三者への個人データの提供にあたるのかどうか、どのようにして判断すればよいのでしょう。

「外国にある第三者への提供かどうかは2段階で判定されます。まず確かめるのは、『提供』に該当するのか。つまり第三者がデータを取り扱うかどうかの確認です。ここで提供に該当しない場合、対応は必要ありません」(坂本)

日本国内の法制度では、データ処理の「委託」やデータの「共同利用」は第三者提供に当たらない、という解釈ですが、もし海外の委託先が第三者としてデータを取り扱っている場合には『提供』に当たる可能性があります。

そもそもここでいう「取り扱う」とは具体的に何を指すのでしょうか。ガイドラインでは個別のケースまでは詳しく触れられていません。ガイドラインに関するQ&Aや専門家の意見、他社の事例などを参考にし、ケースバイケースで慎重にチェックする必要があります。

「制度上の外国」に該当するか確かめよう

次に確かめるのは、『外国』に該当するのかです。

「『制度上の外国にあたるかどうか』という意味です。制度上の外国に当たらない場合は『外国にある第三者への個人データの提供を認める旨の本人の同意』の対応が免除されます。一方、『外国』に該当すると対応が必要です」(坂本)

免除されるパターンとして、欧州経済領域協定(EEA)に規定された国が、提供先である場合が挙げられます。具体的にはドイツなどのGDPR対象国や、英国が含まれます。

他に、日本と同等の水準にあると認められる個人情報保護制度を有している国として、個人情報の保護に関する法律施行規則で定める国が該当しています。

また、免除されるパターンとして、アジア太平洋協力機構(APEC)の越境移転プライバシールール(CBPR:Cross Border Privacy Rules)システムの認証を取得している事業者は、外国の事業者とみなす必要がありません。

「データの提供先がCBPR認証を取得しているかどうかについては、CBPRsのウェブサイトCBPR SYSTEM DIRECTORYで調べることが可能です」(坂本)

該当すると「対応」はかなり大変

対応が必要になった場合、具体的には何をしなければならないのでしょう。ポイントは主に次の3つです。

  • 本人の同意
  • 同意取得時に必要な情報の提示
  • 継続的な確認と情報提供

2つ目の「同意取得時に本人に提示する必要のある情報」には、次の3つがあります。

  1. 当該外国の名称
  2. 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  3. 当該第三者が講ずる個人情報の保護のための措置に関する情報

「この中の<2>、当該外国の個人情報保護に関する法制度については、冒頭取り上げた個人情報保護委員会が発表した調査結果が活用できます。ちなみに、外国にサーバーがある場合には、保有個人データの安全管理措置として、情報公開が求められています。その際もこの調査結果が役立つでしょう」(坂本)

なお、<3>については、提供先の外国にある第三者がOECDプライバシーガイドライン8原則に対応する措置をすべて講じている場合は、その旨を本人に情報提供すればOKです。ただし講じていない場合は、その内容について本人が合理的に認識できる情報が提供されなければならない、とあります。どのように提供すればよいのでしょうか?

「実務的にはプライバシーポリシーを介した情報提供が考えられます。さらにガイドラインによると1年おき程度の継続的な確認と本人への情報提供が求められています。自社で利用するクラウドサービス事業者に継続的に問い合わせて回答や情報を得てプラポリに公開する、など対応が求められるでしょう」(坂本)