(執筆者:渡邉雅之)
【前回までのニュース】
改正個人情報保護法ニュース�@:改正の概要とスケジュール
改正個人情報保護法ニュース�A:要配慮個人情報の取得制限と本人確認書類の取得に際しての実務上の影響
EUデータ保護指令(政府作成による和訳参照)は、EU域内における国々の個人情報の取扱いを定めるもので、各国において国内法化されています。
EUデータ保護指令においては、EU域内から個人データを第三国に移転できる場合について、EUから見て十分なレベルの保護措置を確保している場合に限定しています(「十分性の認定」)。
「十分性認定」の制度とは、EU域内から個人データを第三国に移転できる場合を当該第三国が十分な水準で個人情報の保護を確保するために必要な措置が取られている場合に限定しており、これまでに11の国と地域(スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド)がEUから十分な水準の保護措置を確保している旨の認定を得ています。
EU域内から「十分性の認定」が得られない国や地域に個人データを移転する場合は、�@データ主体の明確な同意の取得するか、�A事業者がEUの定める拘束的企業準則を策定するか、�B欧州委員会が策定した標準契約条項を採用する必要があります。
米国に関しては、分野横断的な個人情報保護法制がないため、米国商務省とEUが締結したセーフハーバー協定に基づき、プライバシーに関するセーフハーバー原則に適合していると米国商務省が認定した米国企業については、EU域内から米国に個人データを移転することが認められてきました。しかしながら、セーフハーバー協定は、2015年10月6日、欧州の司法裁判所により無効と判断されました。(EU域内でFacebookを利用している個人が、アイルランドにあるFacebookの子会社から米国への個人データの移転に関して、スノーデン事件においてCIA等がFacebookの査閲していることから問題であるとして提起した訴訟でした。)
日本は現在のところ、「十分性の認定」の申請をしておりませんが、日本政府は、日本の制度についてEUから不十分である指摘される可能性があるのは、「独立した第三者機関の整備」、「機微情報に関する規定の整備」、「小規模取扱事業者に対しての法の適用」、「越境データ移転についての権限」、「開示請求権の明確化」の5点であると考えています(「逐条解説改正個人情報保護法」(商事法務)参照)。
改正個人情報保護法においては、これらの点に関する規定の整備を行っています。
�@「独立した第三者機関の整備」としては、マイナンバー法を所管していた特定個人情報保護委員会を、個人情報保護法も所管する個人情報保護委員会に改組しました(2016年1月施行)。
�A「機微情報に関する規定の整備」としては、要配慮情報(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述等が含まれる個人情報)について、本人の同意がなければ取得できないことになります。
�B「小規模取扱事業者に対しての法の適用」については、過去6か月間5000人以下の個人情報しか所有していない場合についても個人情報取扱事業者としての義務を負うことになります。
�C「越境データ移転についての権限」は、EUデータ保護指令と同様に、個人情報取扱事業者が個人データを外国に移転する場合には、「個人の権利利益を保護する上で我が国と同等の水準の国の第三者に提供」するか「個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供」に該当しない場合には、原則として本人の同意が必要となります。これにより、個人データの取扱いについて十分でない国にサーバを置いている場合には対処が必要となります。
�D「開示請求権の明確化」については、個人情報の本人が、個人情報取扱事業者に対して開示、訂正等及び利用停止等の請求を行う権利を有することを明確化され、開示等の請求に係る訴えを提起する前に、個人情報取扱事業者に対して当該請求をしなければならなくなります。
ところで、EUでは2018年からEUデータ保護規則(政府作成による規則案の和訳参照)が発行します。
EUデータ保護指令と異なり、EU各国での立法は不要でそのまま施行されます。
以下の点がEUデータ保護指令よりも強化されています。
・透明で適切なプライバシーポリシーの提供
・明示的な同意の取得
・忘れられる権利
・データ・ポータビリティの権利
・プロファイリングの拒否
・16歳以下の利用者について保護者の同意
・データ違反時の報告・連絡(「可能な限り24時間以内」)
・データ保護影響評価
・個人データの範囲
・監督機関による課徴金(最大で年間連結売上高の2%の課徴金)
・罰金(世界の総売り上げの最大4%、最高2000万ユーロ(約26億円))
今回の個人情報保護法の改正は、現在のEU個人データ保護指令との観点では「十分性」は認められるとしても、2018年から発効するEU個人データ保護規則との観点では「十分性」は果たして認められるのかについては疑問があります。「十分性の認定」を得るために更なる法令改正が必要となる可能性があります。
*********************
改正個人情報保護法につきましてご相談等につきましては、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp