トピックス

2017.12.20
NEWS

【個人情報保護法】『個人の権利利益を保護する上で我が国と同等の水準にある外国』に関する個人情報保護委員会規則の改正案

【執筆者:渡邉雅之

2017年12月7日に、個人情報保護委員会から『「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に関する意見募集について』が公表されました(募集期間2018年1月6日まで)。
2017年5月30日に施行された個人情報保護法の改正により、同法24条が設けられ、個人情報取扱事業者が外国にある第三者に個人データを提供する場合には、原則として、(「法令に基づく場合」など同法23条1項各号のいずれかに該当する場合を除き、)外国にある第三者に個人データを提供する旨の同意が必要となりました。

ただし、例外として、(ア)「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合または(イ)個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合のいずれかに該当する場合には、個人情報保護保護法24条ではなく、同法23条の規律が適用され、①あらかじめ本人の同意がある場合(「外国にある第三者への提供を求める旨の本人の同意」ではない単なる「本人の同意」)、②「法令に基づく場合」など同法23条1項各号に該当する場合、③オプトアウトの方法を利用する場合(同法23条2項~4項)、④個人情報保護保護法23条5項各号に該当する場合にも個人データの第三者提供が認められています。
この点、どのような国・地域が「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」として定められるか注目されましたが、現時点(2017年12月20日)では、規則では「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」は定められていません。
したがって、現時点(平成29年12月20日時点)では、この要件に該当する国・地域ということで、個人情報保護法24条ではなく同法23条に基づき個人データの提供が許される国・地域はありません。
この点、平成29年6月16日に個人情報保護委員会が決定した「個人情報保護法第24 条に係る委員会規則の方向性について」においては、日EU 間の個人データの移転については、相互の円滑な移転を図る枠組みの構築を視野に、欧州委員会司法総局との間で累次の対話を重ねてきており、互いの個人情報保護制度に関する理解が進んでいるところである状況を踏まえ、個人情報保護法24 条における外国指定に関する委員会規則について、次のような考え方を軸に検討を進めることとされました。
○規則の方向性
委員会規則に、次の①~⑤を外国指定に当たっての判断基準として盛り込む方向で検討する。
① 個人情報保護法に定める個人情報取扱事業者の義務に関する規定に相当する規定又は規範があること、また、これらを遵守する態勢が認められること。
② 独立した個人情報保護機関が存在し、当該機関が必要な執行態勢を確保していること。
③ 我が国としてその外国を指定する必要性が認められること。
④ 相互の理解、連携及び協力が可能であること。
⑤ 個人情報の保護を図りつつ相互の円滑な移転を図る枠組みの構築が可能であること。
○個別の外国の定め方
個別の外国については、上記の委員会規則に基づき告示において規定することを検討する。
 
 平成29年(2017年)12月6日に個人情報保護委員会が公表した個人情報保護法施行規則の改正案(「個人情報保護法第24条に係る委員会規則の改正案」)においては、個人情報保護法24条の「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」に関する基準を示す規定の案が示されています。
 
(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)
第11条 法第24条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
一 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
二 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること
三 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること
四 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
五 前4号に定めるもののほか、当該外国を法第24条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること
2 個人情報保護委員会は、前項の規定による外国を定める場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができる。
 
 すなわち、個人情報保護法24条の「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」とは、以下の基準を充たすものとして、個人情報保護委員会が告示で定めるものです(改正後の個人情報保護委員会規則11条1項)。
① 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
② 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること
③ 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること
④ 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
⑤ 当該外国を法第24条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること
 
 個人情報保護委員会は、告示において「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」を定めた場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができます(改正後の個人情報保護委員会規則11条2項)。
 この改正は、平成30年(2018年)1月5日までのパブリックコメントを経た後、同年春頃を目途に公布・施行されます。
 なお、この改正により、個人情報保護法24条の「個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準」を示す現行の個人情報保護委員会規則11条は、繰り下げられ、同施行規則11条の2となります。