Action(活動) 週刊 経団連タイムス 2017年1月19日 No.3300  改正個人情報保護法の全面施行に向けて<第5回> -国を越えた個人情報利用と個人情報保護法/内田・鮫島法律事務所弁護士 日置巴美

1.国を越えた個人情報利用の増加への対応

情報通信技術の発展によって、外国から日本向けサービスが提供されることや、個人情報取扱事業者が外国の主体との間で個人情報を移転・共有することが当然のこととなった。改正前の個人情報保護法は、外国における個人情報取り扱いに対する特別な規律を設けていなかったところ、EUをはじめとした諸外国における対応を踏まえて、(1)外国にある第三者に個人データを提供する際の規律(法24条)と、(2)域外適用(法75条)を新設した。日本法の適用を受けない者が個人情報を取り扱うことによって、本人の権利利益侵害が生じることのないよう対応がなされたものである。

2.外国にある第三者に個人データを提供する際の規律

(1)外国にある第三者への個人データの提供

外国にある企業、団体、または私人に対する個人データの第三者提供は、法令に基づく提供等の例外(法23条1項各号)または施行規則11条の基準(「適合基準」という)に適合する者への提供でない限り、本人から外国にある第三者への個人データの提供を認める旨の同意を得る必要がある。そして、適合基準に合致すれば、法23条が適用される。

例えば、個人データの取り扱いを外国企業へ委託する場合、適合基準に合致すれば、本人同意が不要となる(法23条5項1号)。このため適合基準に注目することとなるが、(1)契約やグローバルプライバシーポリシー等の適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置(法15条から24条、27条から33条、35条に相当する措置)の実施が確保されていること、または(2)APEC越境プライバシールール(CBPR)の認証を得ている等の個人情報取り扱いについての国際的な枠組みに基づく認定を受けていることが求められる(規則11条)。

(1)に該当するためには、例えば委託契約によって、わが国の個人情報保護法と同等水準の保護が可能となる措置の実施を確保することとなる。委託における個人情報の利用目的の特定(法15条1項)、委託先からの第三者提供の禁止等(法23条1項)といった個人情報保護法の規定と同等の規定を契約上設ける必要がある(利用目的の通知は委託元で行うなど、実質的に措置が確保されていればよいとされる)。

まずは、外国企業との契約、規約(既存のものを含む)に、このような規定が設けられているかどうかを精査することとなろう。

(2)日本企業の外国支店や関連企業等の位置づけ

日本企業が海外展開する場合、外国支店を設け、また、関連企業や子会社による事業活動が行われる。このような者へ個人情報を移転することは、「第三者提供」となるのだろうか。

第三者か否か、また、単一の個人情報取扱事業者か否かの判断基準としては、法人格の同一性が挙げられる。したがって、外国で法人格を取得している支店や関連企業等は「第三者」に該当するため、法24条について検討しなければならない。対して、法人格を有していない支店については、第三者提供の規定(法23条、24条)は適用されず、安全管理上必要な措置を講ずれば足りる(法20条)。

3.域外適用

外国から行う日本向けサービスの提供には、属地主義から原則として、提供企業の活動拠点となる国の法律が適用される。しかし、インターネット等で物品の販売やサービスの提供を行い、日本の居住者等から個人情報を取得する事業者が増加し、法適用がないことで、不当な取り扱いに対して日本として有効な対策が取り得ないとすれば、本人保護の観点から問題である。

そこで改正法では、日本国内にある者への物品または役務の提供に関連して個人情報を取得する外国の個人情報取扱事業者に対して、第三者提供を受けることを前提とした受領者の確認・記録義務(法26条)を除いた個人情報取扱事業者の義務が課せられるとする規定が設けられた(法75条および17条、18条2項=日本国内での取得行為として当然に適用)。個人情報保護委員会は、指導・助言(法41条)や勧告(法42条1項)によって、個人情報の適切な取り扱いがなされるよう是正することとなる。より強力な措置を取る必要がある場合は、同委員会が、日本の個人情報保護法に相当する法令に基づく措置が取られるよう、外国の当局に協力を求めて実効性を確保することとなる(法78条)。

外国への個人データの移転と個人情報保護法

連載「改正個人情報保護法の全面施行に向けて」はこちら