トピックス

2017.03.08
NEWS

改正個人情報保護法:外国にある第三者への匿名化情報の委託

【執筆者 渡邉雅之
平成28年11月30日に、渡邉雅之弁護士が執筆した『 これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
渡邉雅之弁護士が金融財務研究会で改正個人情報保護法のセミナーをします。
本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)の改正に関して、平成 29 年2月 16 日に、個人情報保護委員会から、『「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」 に関するQ&A 』が公表されています。

その中で、一番多く質問を受けているのが外国にある第三者への提供制限に関する以下のQ&Aです。
 

Q9-11
外国にある第三者に対して、氏名を削除するなどして個人を特定できないよ うにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が 個人情報に復元することがないような場合においても、法第 24 条は適用されますか。
A9-11
法第 24 条は適用されます。受領者たる「外国にある第三者」にとって個人情報 に該当しないデータを提供する場合において、当該者が個人情報を復元することがない こととなっているときは、結果として、施行規則第 11 条で定める基準に適合する体制を 整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱 事業者は法第 22 条に基づき委託先に対する監督義務があることに留意が必要です。

氏名を削除するなどして個人を特定できないようにしているにもかかわらず、なぜ、個人データの提供として扱われるのかというのが共通の疑問です。また、委託先としての監督義務も必要となる点についても疑問を持たれています。

もっとも、ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』の6頁19番参照)

この原則を基に考えられば、上記のQ&Aの回答は理解できるものです。

上記の回答では、(法24条の個人情報保護委員会規則で定める基準について定める)「施行規則第11条で定める基準に適合する体制を整備しているものと解されます」とされています。
施行規則11条各号では、以下の①または②のいずれかの体制を整備することとされています。

①個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること。(同条1号)
②個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。(同条2号)

上記②は、OECDの越境データ移転に関するルールであるCBPRの認証を受けていることを前提としているのでこれに該当しないことは明らかです。該当するとすれば、上記①です。「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」3-1においては、(外国の事業者に委託する場合には、)「適切かつ合理的な方法」としては「提供元及び提供先間の契約、確認書、覚書等」を、「法第四章第1節の規定の趣旨に沿った措置」としては、法第4章第1節の個人情報取扱事業者の義務規定(15条~35条)に関して委託契約書の中に盛り込むことが求められています。

もっとも、上記のQ&Aが「施行規則第11条に定める基準に適合した体制を整備しているものと解されます」としていることに鑑みれば、匿名化をした上で個人データを提供する場合には、「適切かつ合理的な方法」として委託契約書を締結して、その委託契約書に「法第四章第1節の規定の趣旨に沿った措置」を盛り込むことまで求めるものではないように読めます。

上記のQ&Aは海外の事業者に対して個人データの取扱いの委託をする場合で、改正後の個人情報保護法24条の適用が問題となるケースですが、国内において個人データを特定の個人を識別できないようにして委託をする場合においては、同法23条5項1号の「個人データの取扱いの委託」に該当し、「第三者」でないものへの提供として本人の事前の同意は不要ですが、上記の回答と同様に、同法22条に基づく委託先の監督が必要となります。この場合においても、同法22条の委託先としての監督は必要となりますが、委託契約を締結することまでは求められていないのではないかと考えられます。

個人情報であるか否かが「提供元」「委託元」において判断することになることからすると、匿名化(特定の個人を識別できないようにすること)をしても、改正法の施行後は、「個人情報(個人データ)」または「匿名加工情報」のいずれかとして扱う必要があり、「非個人情報」として、個人情報保護法上の規律が適用されないのは、「統計情報」に該当する場合に限られることに留意する必要があります。
すなわち、改正後は、匿名化情報については、「個人データ」あるいは「匿名加工情報」のいずれの管理とするかということを検討する必要があります。

*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp