トピックス

2020.01.15
NEWS

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第9回「域外適用と越境データ移転に関する改正の方向性」~

令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第9回は、「域外適用と越境データ移転に関する改正の方向性」について解説する。
 
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
 (関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』

執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
 
【改正の方向性】
第1.域外適用に関する改正
  1. GDPRのような代理人の設置義務は認められない模様。
  2. 日本国内にある者に係る個人情報又は匿名加工情報を取り扱う外国の事業者を、罰則によって担保された報告徴収及び命令の対象とする。
  3. 事業者が命令に従わなかった場合には、その旨を委員会が公表できることとする。
  4. 委員会による外国の事業者に対する立入検査を可能とする。
  5. 外国主権との関係から、他国の同意がない限り、他国領域内における公権力の行使はできないため、必要に応じて、外国当局との執行協力を行っていく。
  6. 内外の事業者に対して実効的に権限を行使し、かつ、適正手続を担保するため、領事送達・公示送達等の送達に関する手続を具体化する。
第2.外国にある第三者への個人データの提供制限に関する改正
  1. 中国のサイバーセキュリティ法のように、国内サーバ保存の義務付けはなされない。
  2. 移転元となる個人情報取扱事業者に対して本人の同意を根拠に移転する場合は、移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を求める。
  3. 移転先事業者において継続的な適正取扱いを担保するための体制が整備されていることを条件に、本人の同意を得ることなく個人データを移転する場合には、本人の求めに応じて、移転先事業者における個人情報の取扱いに関する情報提供を行うことが求められることになる。具体的には、個人情報保護法24条の「個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準」の要件を満たす場合には、人情報保護法24条ではなく、同法23条が適用され、「個人データの海外の取扱いの委託先」や「海外の個人データの共同利用先」には、個人情報保護法23条5項1号(個人データの取扱いの委託)・3号(個人データの共同利用)に基づき、「第三者」には該当しないものとして、本人の同意なく提供が可能となるが、当該「個人データの海外の取扱いの委託先」や「海外の個人データの共同利用先」に関する情報提供を求める改正であると考えられる。
  4. 過重な負担とならないように、提供する情報の内容や提供の方法等について具体的に検討される。
 
【制度改正大綱の内容】(制度改正大綱28~31頁)
第3章 個別検討事項
第6節 法の域外適用の在り方及び国際的制度調和への取組と越境移転の在り方
1.基本的考え方
〇 我が国は、EUとの相互認証やAPECのCBPRシステム等の取組を進め、グローバルな連携に努めてきた。今後、国際的なデータ流通がより増大していくことを踏まえると、国際的制度調和の重要性が更に増していくことになる。個人情報・プライバシーの領域では、近年、途上国を含め世界の国々で個人情報保護関連法制に動きがみられる中、一部に管理的規制が出現しつつある。こうした現状を踏まえ、委員会が良好な関係を築いてきた米欧を中心とした関係国・機関と共に国際的な議論を引き続きリードし、個人情報保護に関する国際的な指針の見直し及びそれらに基づく国際的な制度調和を図り、その下で、適切な形での個人データの保護と円滑な流通の確保につなげていく必要がある。
〇 このような個人情報に係る制度を巡る国際的な議論は、二国間、多国間ともに、ここ数年、活発化している状況にある。平成27年改正法では、個人情報保護法第6条に「国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずる」との規定が追加されたが、今後、当該規定の趣旨を踏まえつつ、昨今の国際的な議論の進展を受け、我が国がこうした議論をリードし国際的な制度調和への取組を進めるため、委員会の国際交渉体制の強化にも取り組んでいく必要がある。
2.域外適用の範囲の拡大
〇 いわゆる域外適用については、平成27年改正法によって、法の適用関係が明確化された。この結果、外国において個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う個人情報取扱事業者に法が適用されるのは、①国内にある者に対する物品又は役務の提供に関連して、②その者を本人とする個人情報を取得した場合とされている(法第75条)。
〇 ただし、現行法の規定により、報告徴収及び立入検査並びに命令に関する規定は外国の事業者に適用されないため、委員会が、域外適用の対象となる外国の事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっており、報告徴収及び立入検査並びに命令を行うことはできないこととなっている。
〇 これまでのところ、外国の事業者の不適切な取扱いについては、日本の拠点を通じた指導等により是正されてきている。しかしながら、仮に、外国の事業者に本法の義務規定に違反する行為があると認められ、指導・助言又は勧告を行っても改善されない等、より強力な措置をとる必要がある場合には、委員会が、個人情報保護法に相当する外国の法令を執行する外国の当局に対して、相互主義の考え方の下、その外国の法律に基づく執行の協力を求めて(法第78条)、実効性を確保することとなっている。
〇 ただし、中間整理の意見募集では、域外適用の拡大について反対する意見も寄せられる一方、外国事業者に対する執行を強化すべきとの意見も多く寄せられた。
〇 また、外国事業者について、平成29年度は、漏えい等報告10件、指導助言4件、平成30年度は、漏えい等報告20件、指導助言15件の対応実績があり、対応件数は増加している。このような状況について、国内事業者と外国事業者との公平性の観点から問題であるとの指摘もある。
〇 こうした状況を踏まえ、日本国内にある者に係る個人情報又は匿名加工情報を取り扱う外国の事業者を、罰則によって担保された報告徴収及び命令の対象とする。また、事業者が命令に従わなかった場合には、その旨を委員会が公表できることとする。さらに、委員会による外国の事業者に対する立入検査を可能とする。もっとも、外国主権との関係から、他国の同意がない限り、他国領域内における公権力の行使はできないため、必要に応じて、外国当局との執行協力を行っていく。
〇 併せて、内外の事業者に対して実効的に権限を行使し、かつ、適正手続を担保するため、領事送達・公示送達等の送達に関する手続を具体化する。
3.外国にある第三者への個人データの提供制限の強化
〇 海外への業務委託の一般化やビジネスモデルの複雑化が進む中、個人データの越境移転に伴うリスクも変化しつつある。これまで、データ保護関連法制については、多くの国々で、OECDプライバシー・ガイドラインに準拠する形で行われてきたが、近年、データ保護関連法制が途上国を含め世界に広がる中で、一部の国において国家管理的規制がみられるようになっている。データの国内での保存等を義務付けるデータ・ローカライゼーションや、民間のデータに対する制限のないガバメント・アクセスに係る海外の立法例はその一例と考えられる。
〇 個人情報の越境移転の機会が広がる中で、こうした国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものとし、個人の権利利益の保護の観点からの懸念も生じる。例えば、データ・ローカライゼーション政策との関係から、本人による個人データの消去の請求に越境移転先の事業者が対応することができないおそれや、外国政府による無制限なガバメント・アクセスによって、我が国で取得され越境移転された個人データが不適切に利用されるおそれがある。こうした国家管理的規制は、個人の権利利益の保護の観点から看過しがたいリスクをもたらすおそれがある。
〇 また、G20茨城つくば貿易・デジタル経済大臣会合(令和元年6月8日及び9日)において、「データ・フリー・フロー・ウィズ・トラスト(DFFT)」(信頼性のある自由なデータ流通)のコンセプトがG20全体で合意され、信頼につながる各国の法的枠組みは相互に接続可能なものであるべきことが確認された。このような国際的潮流の中にあって、「プライバシーやセキュリティ・知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進」9を実現するためには、国家間では相互に信頼性を確保した自由なデータ流通を促進する必要があることに加え、上記のような、個人データのフリー・フローを支える信頼を、事業者と本人の間においても確保することが重要である。
  (脚注9)成長戦略フォローアップ(令和元年6月21日閣議決定)
〇 平成27年改正法で導入された法第24条は、個人情報取扱事業者が外国に個人データを移転できる場合を一定の場合に制限するものであり、その規制の対象は個人データの移転元である国内事業者であることから、当該規制によって、移転先における状況の多様性に起因するリスクに対応するためには、移転先の事業者やその事業者がおかれている外国の状況について必要最低限の留意を求めることとする。
〇 具体的には、移転元となる個人情報取扱事業者に対して本人の同意を根拠に移転する場合は、移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を求める。また、移転先事業者において継続的な適正取扱いを担保するための体制が整備されていることを条件に、本人の同意を得ることなく個人データを移転する場合にあっては、本人の求めに応じて、移転先事業者における個人情報の取扱いに関する情報提供を行うこととする。
〇 なお、移転先国の個人情報の保護に関する制度等についての本人に対する情報提供は、当該個人情報の取扱いについて本人の予見可能性を高めることが趣旨であることから、その範囲で必要最低限のものとし、網羅的なものである必要はない。今後、事業者の負担や実務に十分配意した上で、過重な負担とならないように、提供する情報の内容や提供の方法等について具体的に検討することとする。
 
【参考】
〇個人情報の保護に関する法律
(外国にある第三者への提供の制限)
第24条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
(適用範囲)
第75条 第15条、第16条、第18条(第2項を除く。)、第19条から第25条まで、第27条から第36条まで、第41条、第42条第1項、第43条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。
〇GDPRにおける代理人設置の義務について
1 代理人の選任義務がある場合
「代理人」(representative)とは、GDPR27条により、管理者又は取扱者によって書面で指名され、GDPRに基づく管理者又は取扱者の各々の義務に関して当該管理者又は取扱者の代理をするEU 域内に置かれた自然人又は法人をいう(GDPR4条17項)。
代理人になる資格には、データ保護オフィサーと異なり制限はない。
EU域外の管理者または取扱者に、GDPRが域外適用される場合(GDPR3条2項、下記参照)、管理者または代理人はEU域内に代理人を書面で選任しなければならない(GDPR27条1項、前文80項)。
【GDPRが域外適用される場合】
EU域内に事業所を有しない場合であって、以下の①または②のいずれかに該当する場合
①EU 在住のデータ主体に対する商品又はサービスの提供に関する取扱い。(GDPR3条2項(a))
②EU 域内で行われるデータ主体の行動の監視に関する取扱い。(GDPR3条2項(b))
ただし、次のいずれかに該当する場合には、代理人の選任義務はない(GDPR27条2項)。
【GDPRが域外適用されても代理人の選任義務がない場合】
①取扱いが散発的であり、かつ、「特別な種類の個人データ」又は「有罪判決及び犯罪に関する個人データ」の取扱いを大規模に含まず、かつ、「取扱いの性質、文脈、範囲及び目的を考慮して自然人の権利又は自由に対する危険が生じる可能性が低い取扱い」(GDPR27条2項(a))
②公的機関又は団体(GDPR27条2項(b))
 
すなわち、「公的機関又は団体」でない民間事業者は、以下のいずれの要件にも該当しない限り、代理人を選任する義務を負うことになる(GDPR27条2項(a))。
(i)EU域内のデータ主体の個人データの取扱いが散発的であること
(ii)「特別な種類の個人データ」又は「有罪判決及び犯罪に関する個人データ」の取扱いを大規模に含まないこと
(iii) その性質、文脈、範囲及び目的を考慮して自然人の権利又は自由に対する危険が生じる可能性が低い取扱いであること
 
代理人は、データ主体が居住し、当該データ主体への商品やサービスの提供に関連して当該データ主体の個人データが取扱いされるか、又は当該データ主体の行動が監視される加盟国の一つに事業所を有しなければならない(GDPR27条3項)。
 
2 代理人の権限・義務
代理人は、本規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者若しくは取扱者とともに又は代わって、特に、監督機関及びデータ主体と対話をするため、管理者又は取扱者によって委任されなければならない(GDPR27条4項)。
管理者又は取扱者による代理人を選任しても、管理者又は取扱者の責務および管理者又は取扱者に対して取られる法的行為に影響を与えることはありません(GDPR27条5項、前文80項)。
  管理者又は取扱者の代理人は、取扱い活動の記録義務を負う(GDPR30条1項、2項)。管理者又は取扱者の代理人は、要求に応じて記録を監督機関が入手可能にしなければならない(GDPR30条4項)。
管理者又は取扱者の代理人は要求に応じて監督機関の業務遂行において監督機関と協力(GDPR31条)を含め、GDPRの遵守を確保するために行われる全ての行為に関して、管理者または取扱者から受けた委任に従って、その職務を遂行しなければならない(前文80項)。
管理者又は取扱者の代理人は、管理者または取扱者による違背行為が発生した場合には、法執行の手続に服さなければならない(前文80項)。
〇中国サイバーセキュリティ法が求める個人データのローカリゼーション
 2017年6月1日に施行された「中国サイバーセキュリティー法」では、「公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要な産業および分野、ならびにひとたび機能の破壊、喪失またはデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラ」(「重要情報インフラ」)の運営者に対し、中国国内で収集・発生した「個人情報」および「重要データ」を、中国国内に保存することを義務付けており、業務の必要により国外に提供する必要がある場合は、規則に従って安全評価を行わなければならないとされている。
「重要データ」とは、組織、機構、個人が中国国内で収集し、生成した、国家機密にはかかわらないが、国の安全、経済成長および公共の利益に密接にかかわるデータ(原始データと派生データを含む)をいう。「重要データ」については、具体的な法令や標準に従って検討する必要があるが、いまだ法により明確化されていないため、今後の立法動向に注目しておく必要がある。
「重要情報インフラ運営者」には、中国国内において収集・生成した個人情報および重要データについて、中国国内において保管する必要があり、業務上の必要から、越境する必要が確かにある場合には、安全評価を行わなければならない義務が定められている。
「個人情報と重要データ越境セキュリティー評価弁法(意見募集稿)」においては、当該義務を履行しなければならない主体がすべての「ネットワーク運営者」に拡大されている。この点については今後、関連する法規の発布による明確化が待たれる。
 

 
【解説】
1.域外適用に関する改正
 平成27年改正法によって、法の適用関係が明確化された。この結果、外国において個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う個人情報取扱事業者に法が適用されるのは、①国内にある者に対する物品又は役務の提供に関連して、②その者を本人とする個人情報を取得した場合とされた(法第75条)。
外国の事業者の不適切な取扱いについては、日本の拠点を通じた指導等により是正されてきている。しかしながら、仮に、外国の事業者に本法の義務規定に違反する行為があると認められ、指導・助言又は勧告を行っても改善されない等、より強力な措置をとる必要がある場合には、委員会が、個人情報保護法に相当する外国の法令を執行する外国の当局に対して、相互主義の考え方の下、その外国の法律に基づく執行の協力を求めて(法第78条)、実効性を確保することとなっている。
外国事業者について、平成29年度は、漏えい等報告10件、指導助言4件、平成30年度は、漏えい等報告20件、指導助言15件の対応実績があり、対応件数は増加している。このような状況について、国内事業者と外国事業者との公平性の観点から問題であるとの指摘もある。
現行法の規定により、報告徴収及び立入検査並びに命令に関する規定は外国の事業者に適用されないため、委員会が、域外適用の対象となる外国の事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっており、報告徴収及び立入検査並びに命令を行うことはできないこととなっている。
 こうした状況を踏まえ、制度改正大綱では以下の改正が提言されている。
〇日本国内にある者に係る個人情報又は匿名加工情報を取り扱う外国の事業者を、罰則によって担保された報告徴収及び命令の対象とする。
〇事業者が命令に従わなかった場合には、その旨を委員会が公表できることとする。
〇委員会による外国の事業者に対する立入検査を可能とする。
〇外国主権との関係から、他国の同意がない限り、他国領域内における公権力の行使はできないため、必要に応じて、外国当局との執行協力を行っていく。
〇内外の事業者に対して実効的に権限を行使し、かつ、適正手続を担保するため、領事送達・公示送達等の送達に関する手続を具体化する。
 なお、GDPR(EU一般データ保護規則)では、域外適用がされる場合(GDPR3条2項)、EU域内に代理人を設置することが義務付けられている(GDPR27条1項)。
制度改正大綱においては、代理人の設置義務についての記載がないことから代理人設置義務を求める改正はなされない模様である。
 
 
2.外国にある第三者への個人データの提供制限の強化
(1)現行法の規律
ア 外国にある第三者への提供が認められる場合
平成29年(2017年)5月30日施行の個人情報保護法の改正により、外国にある第三者への個人データの第三者提供の規律が設けられた(同法24条)。
個人情報取扱事業者が、個人データを外国にある第三者に提供する場合には、個人情報保護法23条(第三者提供の制限)は適用されず、個人情報保護法24条(外国にある第三者への提供の制限)の規定が適用される。
個人情報保護法24条においては、個人情報取扱事業者は、外国にある第三者に個人データを提供するには、個人情報保護法23条1項各号に該当する場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意がなければならないこととされている。
 
【外国にある第三者への提供が認められる場合】
①あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合
②個人情報保護法23条1項各号に該当する場合
(i)法令に基づく場合
(ii)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(iii)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(iv)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 
 すなわち、外国にある第三者への個人データの提供の場合には、個人情報保護法23条において認められる以下の第三者提供の方法は原則として認められない。
 
【外国にある第三者への提供において原則として認められない個人データの提供方法】
① (外国にある第三者への提供か明確ではない単なる)本人の事前の同意
② オプトアウトの方法を利用する場合(個人情報保護保護法23条2項~4項)
③ 個人情報保護法23条5項各号に該当する場合(同法23条5項)
(i)個人データの取扱いの委託
(ii)合併等の事業の承継に伴って個人データが提供される場合
(iii)個人データを特定の者との間で一定の条件の下共同して利用する場合
 
 ただし、(ア)「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合または(イ)個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合のいずれかに該当する場合には、個人情報保護法24条ではなく、同法23条の規律が適用され、①あらかじめ本人の同意がある場合(「外国にある第三者への提供を求める旨の本人の同意」ではない単なる「本人の同意」)、②同法23条1項各号に該当する場合、③オプトアウトの方法を利用する場合(同法23条2項~4項)、④同法23条5項各号に該当する場合にも個人データの第三者提供が認められる。
 


【個人情報保護法23条の規律の適用が認められる場合】
  1. 「個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域」にある第三者への提供に該当する場合
  2. 個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合
 
イ あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合
 「あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合」は、個人情報取扱事業者は外国にある第三者に対して個人データを提供することができる。
 個人情報保護法23条1項の「本人の同意」がある場合でも、「外国にある第三者への提供を認める旨の本人の同意」がなければ外国にある第三者には個人データを移転することはできない。
「外国にある第三者への提供を認める旨の本人の同意」を取得する際には、事業の性質及び個人データの取扱い状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならない。この方法には、提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法、「実質的に本人からみて提供先の国名等を特定できる方法」、「国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法」などが含まれ得る。(『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(以下「個人情報保護法ガイドラインQ&A」という。)9-2)
実質的に本人からみて提供先の国名等を特定できる方法」とは、本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合を指す。例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供することは、当該国の記載がなくても、実質的に本人からみて提供先の国名を特定できるものと考えられる。(個人情報保護法ガイドラインQ&A9-3)

ウ 個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準
「個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準」(上記1(イ))としては以下のとおり定められている(個人情報保護法施行規則11条の2)。

 
 
①個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること(個人情報保護法施行規則11条1号)
②個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(個人情報保護法施行規則11条2号)
 
 上記②の「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要がある。これには、提供先の外国にある第三者が、APECの越境プライバシールール(CBPR)システムの認証を得ていることが該当する。
 上記①の「適切かつ合理的な方法」および「法第四章第一節の規定の趣旨に沿った措置」については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」3-2において定められている。
 「適切かつ合理的な方法」とは、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある。
(事例1)外国にある事業者に個人データの取扱いを委託する場合
提供元および提供先間の契約、確認書、覚書等
(事例2)同一の企業グループ内で個人データを移転する場合
提供元および提供先に共通して適用される内規、プライバシーポリシー等
 
「法第四章第一節の規定の趣旨に沿った措置」は、具体的には、国際的な整合性を勘案すると下記表のとおりである。これは、国際的な整合性の判断は、経済協力開発機構(OECD)におけるプライバシーガイドラインやアジア太平洋経済協力(APEC)におけるプライバシーフレームワークといった国際的な枠組みの基準に準拠している。
外国にある第三者は、「法第4章第1節の規定の趣旨に沿った措置」として以下の事項について、「適切かつ合理的な方法」に記述する方法によって担保されていなければならない。もっとも、契約等にすべての事項を規定しなければならないものではなく、「法第4章第1節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、措置の実施が確保されていれば足りる。
 
法第4条第1節の規定の趣旨に沿った措置 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合
第15条 利用目的の特定 委託契約において、外国にある事業者による利用目的を特定する。 就業規則等において利用目的を特定する。
第16条 利用目的による制限 委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務取扱いを規定する。 従業員情報を就業規則において特定された利用目的の範囲内で利用する。なお、利用目的の範囲を超える場合には、当該従業員の同意を得る必要があるが、その場合、日本にある個人情報取扱事業者が同意を取得することも認められるものと解される。
第17条 適正な取得 外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。 外国にある親会社が内規等に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
第18条 取得に際しての利用目的の通知等 日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。 日本にある個人情報取扱事業者が従業員に対して利用目的の通知等をする。
第19条 データ内容の正確性の確保等 委託契約によりデータ内容の正確性の確保等について規定するか、または、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うことになる。 日本にある個人情報取扱事業者を通じて従業員情報の正確性を確保する。
第20条 安全管理措置 委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。GL(通則編)「(別添)講ずべき安全管理措置の内容」を参照。 内規等により外国にある親会社が安全管理措置を講ずる旨を規定する。
第21条 従業者の監督 委託契約により外国にある事業者の従業者の監督に係る措置を規定する。 内規等により外国にある親会社の従業者の監督に係る措置を規定する。
第22条 委託先の監督 委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
①適切な委託先の選定
②委託契約の締結
③委託先における個人データ取扱い状況の把握
内規等により外国にある親会社の再委託先の監督に係る措置を規定する。
第23条 第三者提供の制限 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。 内規等により外国にある事業者からの個人データの第三者提供を禁止する。
第24条 外国にある第三者への提供の制限 委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法22条の委託先の監督義務のほか、法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
内規等により外国にある親会社からの個人データの第三者提供を禁止する。
外国にある親会社から更に他の国にある子会社等に個人データを移転する場合にも、内規等により法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
第27条~第33条、第35条 保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の取扱い 提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の取扱いに係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
内規等により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の取扱いに係る義務を履行することについて明確にする。
 
(2)制度改正大綱による改正の方向性
ア データ・ローカライゼーション
中国サイバーセキュリティ法などでは、国内サーバ保存の義務付けがなされている。
しかしながら、制度改正大綱は、国内サーバ保存義務付けなどのデータ・ローカリゼーションについて、個人やデータを取り扱う事業者の予見可能性を不安定なものとし、個人の権利利益の保護の観点からの懸念も生じるとして否定的である。例えば、データ・ローカライゼーション政策との関係から、本人による個人データの消去の請求に越境移転先の事業者が対応することができないおそれや、外国政府による無制限なガバメント・アクセスによって、我が国で取得され越境移転された個人データが不適切に利用されるおそれがある。こうした国家管理的規制は、個人の権利利益の保護の観点から看過しがたいリスクをもたらすおそれがある。
また、成長戦略フォローアップ(令和元年6月21日閣議決定)においては、国際的に自由なデータ流通の促進」を実現するためには、国家間では相互に信頼性を確保した自由なデータ流通を促進する必要があることに加え、上記のような、個人データのフリー・フローを支える信頼を、事業者と本人の間においても確保することが重要であるとされている。
したがって、国内サーバ義務付けなどのデータ・ローカリゼーションは改正法により設けられない方向である。
ただし、平成27年改正法で導入された法第24条は、個人情報取扱事業者が外国に個人データを移転できる場合を一定の場合に制限するものであり、その規制の対象は個人データの移転元である国内事業者であることから、当該規制によって、移転先における状況の多様性に起因するリスクに対応するためには、移転先の事業者やその事業者がおかれている外国の状況について必要最低限の留意を求めることとされている。
制度改正大綱では、具体的には、以下の改正が提言されている。

〇移転元となる個人情報取扱事業者に対して本人の同意を根拠に移転する場合は、移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実を求める。

現行法下でも以下のとおり、国名等を特定することが求められている。
〇「外国にある第三者への提供を認める旨の本人の同意」を取得する際には、事業の性質及び個人データの取扱い状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならない。この方法には、提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法、「実質的に本人からみて提供先の国名等を特定できる方法」、「国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法」などが含まれ得る。(『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(以下「個人情報保護法ガイドラインQ&A」という。)9-2)
〇「実質的に本人からみて提供先の国名等を特定できる方法」とは、本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合を指します。例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供することは、当該国の記載がなくても、実質的に本人からみて提供先の国名を特定できるものと考えられる。(個人情報保護法ガイドラインQ&A9-3)
 
〇移転先事業者において継続的な適正取扱いを担保するための体制が整備されていることを条件に、本人の同意を得ることなく個人データを移転する場合には、本人の求めに応じて、移転先事業者における個人情報の取扱いに関する情報提供を行うことが求められることになる。

これは、上記(1)ウで説明した、個人情報保護法24条の「個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準」の要件を満たす場合には、人情報保護法24条ではなく、同法23条が適用され、「個人データの海外の取扱いの委託先」や「海外の個人データの共同利用先」には、個人情報保護法23条5項1号(個人データの取扱いの委託)・3号(個人データの共同利用)に基づき、「第三者」には該当しないものとして、本人の同意なく提供が可能となるが、当該「個人データの海外の取扱いの委託先」や「海外の個人データの共同利用先」に関する情報提供を求める改正であると考えられる。

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0