トピックス

2016.04.30
NEWS

改正個人情報保護法ニュース⑪:外国にある第三者への提供の制限

(執筆者 渡邉雅之
改正個人情報保護法ニュース①:改正の概要とスケジュール

改正個人情報保護法ニュース②:要配慮個人情報の取得制限と本人確認書類の取得に際しての実務上の影響
改正個人情報保護法ニュース③:EUのデータ保護指令の要請による改正
改正個人情報保護法ニュース④:匿名加工情報(ビックデータ)に関する改正
改正個人情報保護法ニュース⑤:個人情報の定義の拡充
改正個人情報保護法ニュース⑥:利用目的の制限の緩和
改正個人情報保護法ニュース⑦:要配慮個人情報と機微情報(センシティブ情報)
改正個人情報保護法ニュース⑧:第三者提供に係る確認及び記録の作成の義務付け
改正個人情報保護法ニュース⑨:不正な利益を図る目的による個人情報データベース提供罪の新設
改正個人情報保護法ニュース⑩:オプトアウトの要件の厳格化

今回は、改正個人情報保護法において新たに定められる、個人データの外国にある第三者への提供の制限について解説いたします。

〇現行の個人情報保護法における個人データの第三者への提供

現行の個人情報保護法では、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはならないとされています(保護法23条1項)。
例外としては、次の①~③の3つのカテゴリーが認められています。

① 第三者提供の制限の例外(保護法23条1項各号)
以下のいずれかに該当する場合は、本人の事前の同意なく個人データの第三者提供が可能です。
(i)法令に基づく場合
 (ii)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 (iii)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 (iv)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
②オプトアウトの方法を利用する場合(保護法23条2項)
③「第三者」に該当しないものとされる場合(保護法23条4項各号)

(i) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(ii) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(iii) 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

現行の個人データの第三者提供においては、個人情報保護法23条の規定が、「第三者」が日本国内の者か外国にある者かを問わずに適用されます。

〇改正の背景
改正個人情報保護法ニュース③:EUのデータ保護指令の要請による改正」において説明したとおり、EUのデータ保護指令では、EU域内から個人データを第三国に移転できる場合について、EUから見て十分なレベルの保護措置を確保している場合に限定しています(「十分性の認定」)。
「十分性認定」の制度とは、EU域内から個人データを第三国に移転できる場合を当該第三国が十分な水準で個人情報の保護を確保するために必要な措置が取られている場合に限定しており、これまでに11の国と地域(スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド)がEUから十分な水準の保護措置を確保している旨の認定を得ています。
EU域内から「十分性の認定」が得られない国や地域に個人データを移転する場合は、①データ主体の明確な同意の取得するか、②事業者がEUの定める拘束的企業準則を策定するか、③欧州委員会が策定した標準契約条項を採用する必要があります。

十分性の認定のイメージ図

日本は現在のところ、「十分性の認定」の申請をしておりませんが、日本政府は、EUから十分性の認定を得るために必要な要件の一つとして、「越境データ移転についての権限」について定める必要があると考えました。すなわち、上記のEUの「十分性の認定」と同様の枠組みを用意する必要があると考えたのです。

〇改正後の外国にある第三者への個人データの提供に関する規制
改正個人情報保護法においては、従前の「第三者提供の制限」(同法23条)に加えて、新たに「外国にある第三者への提供の制限」に関する規定(同法24条)を置いております。以下は、判断のフローに従って説明します。

外国にある第三者への提供のフロー図

(1)「本邦の域内の第三者」への提供か、または、「本邦の域外にある国・地域の第三者」への提供か
✓「本邦の域内の第三者」への提供をする場合には、従前どおり、同法23条の「第三者提供の制限」の規定が適用されます。同法23条が適用される場合であって、①個人データの取扱いの委託、②合併等の事業の承継に伴って個人データが提供される場合、③個人データを特定の者との間で一定の条件の下共同して利用する場合には、本人の事前の同意がなくても第三者への提供が認められます(正確に言えば、「第三者」に該当しないものとみなされます。)。
同一法人の海外支店や駐在員事務所は「第三者」への提供には該当しないので、同法23条、24条のいずれも適用されず、「利用目的」の範囲内であれば利用することが認められます。

(2)個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者への提供か
✓「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合には、従前どおり、保護法23条が適用されます。同法23条が適用される場合であって、①個人データの取扱いの委託、②合併等の事業の承継に伴って個人データが提供される場合、③個人データを特定の者との間で一定の条件の下、共同して利用する場合には、本人の事前の同意がなくても第三者への提供が認められます。
✓どのような国・地域が「個人情報保護委員会規則で定める国・地域」に該当するか否かは、現時点では個人情報保護委員会規則が公表されていないため明らかではありません。EUの「十分性の認定」と同様に国・地域がかなり限定されるのか否かが注目されます。とりわけ、外国にサーバを置いている会社はどの国にサーバを置いているかが重要となります。フィリピンやインドなどの東南アジアや南アジアの国にサーバを置いている場合、日本の個人情報保護法制と比べて緩やかであるとして保護法23条の適用は受けられない可能性があります。

(3)個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者の提供か
✓上記(2)の「個人情報保護委員会規則で定める国・地域」に該当しない場合であっても、事業者レベルで「個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している」場合には、保護法23条が適用されます。同法23条が適用される場合であって、①個人データの取扱いの委託、②合併等の事業の承継に伴って個人データが提供される場合、③個人データを特定の者との間で一定の条件の下、共同利用する場合には、本人の事前の同意がなくても第三者への提供が認められます。
✓「個人情報保護委員会規則で定められる基準」については、現時点では個人情報保護委員会規則が公表されていないため明らかではありませんが、伝え聞くところによると、個人情報保護委員会は現行の実務への影響を与えないように配慮するようです。たとえば、金融機関であれば、金融庁の「金融分野における個人情報保護に関するガイドライン」や「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」で定める個人データの取扱いの委託の要件を満たしていれば、新たな要件は求められないのではないかと思われます。

(4)保護法23条1項各号に該当するか
上記の(2)または(3)の要件を満たさない場合であっても、保護法23条1項各号(下記参照)のいずれかに該当する場合は、本人の事前の同意を得ずに、第三者に個人データを提供することができます。「法令に基づく場合」には、日本の法令に限られると解釈されているので、外国の当局の命令に基づき提供することは困難です(「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当し得る場合はあるかもしれません。)。
✔法令に基づく場合
✔人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
✔公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
✔国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(5)外国の第三者への提供を認める旨の本人同意を得たか
✓上記(2)~(4)に該当しない場合であっても、「外国の第三者への提供を認める旨の本人の事前の同意」がある場合には、個人データの第三者提供が認められます。
✓「外国の第三者への提供を認める旨の本人の事前の同意」がない場合には、個人データの第三者提供は認められません。

〇経過規定
施行日前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が改正後の法24条の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、改正個人情報保護法24条の同意があったものとみなされます(附則3条)。

〇実務上の影響
国内の事業者が、海外にサーバを置いている場合に影響が出てきます。
✓上記で説明したとおり、「外国にある第三者」とは、個人データの提供者と当該個人データの本人以外の者であって、外国に所在する者が該当し、法人の場合、個人データの提供者と別法人格を有するかどうかで第三者に該当するか判断します。
✓日本企業X社が海外の現地法人Y社や委託契約を締結している外国法人Z社に提供する場合、外国で法人格を取得しているため、日本企業X社にとって「外国にある第三者」に該当します。
✓日本企業X社から、同社の海外支店や駐在員事務所は、X社と同じ法人格であるため、日本企業X社にとって「外国にある第三者」に該当しません。
✓外国にサーバを設置している場合であっても、自社サーバであれば、「外国にある第三者」への提供に該当しない。他社サーバの場合は、「外国にある第三者」への提供に該当します。
✓「個人情報保護委員会規則で定められる国・地域」や「個人情報保護委員会規則で定められる基準」が注目されるところです。上記でも説明したとおり、個人情報保護委員会は現行実務を変更することは想定していないようですので、「個人情報保護委員会規則で定められる基準」は、各省庁で定める個人情報のガイドラインで求められる個人情報の取扱いの委託のための要件から大幅に変更されることはないものと思われます。

*********************
改正個人情報保護法につきましてご相談等につきましては、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp