令和2年改正の27条1項4号対応 - 思い出したいことがある

1.今日のテーマ

f:id:seko-law:20210919180815p:plain

私も以前から「これ対応きっついな、、、」と感じていて、水町先生がちょうど同じような趣旨のブログを書かれていたものに、令和2年改正個人情報保護法の27条1項4号があります。

昨日は複数企業のプライバシー担当者でミーティングをしていて
・27条1項4号対応すごく大変だよね
・意見募集結果（通則編）No.468まで皆ちゃんと読んでるんだろうか
との話題で盛り上がりました。「個人データを取り扱わないこととなっている場合」も「提供に該当しない場合」なのでスコープという。 pic.twitter.com/aifszqWXzG
— せこ (@seko_law) August 21, 2021

こちらやはり色々ご苦労されている方もいれば、あまり問題意識を持てていない方もいそうでした。ひとまずは後者の方向けに、現状何が求められているのかを整理しました。

2.ガイドライン・Q&Aの記載

個人的なコメントは極力排して、引用中心で記載します。

法第 27 条条（第 1 項）
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。
(4) 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

【個人情報の保護に関する法律についてのガイドライン（通則編） P.108】

↓（政令での定め）

政令第 8 条
法第 27 条第 1 項第 4 号の政令で定めるものは、次に掲げるものとする。
(1) 法第 20 条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。）

【個人情報の保護に関する法律についてのガイドライン（通則編） P.109】

↓（ガイドラインにおける上記部分の解説）

個人情報取扱事業者は、保有個人データについて、次の①から⑤までの情報を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。）（※1）に置かなければならない。

（中略）

④保有個人データの安全管理のために講じた措置（ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。）

（中略）

（外的環境の把握）
事例）個人データを保管している A 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施

【個人情報の保護に関する法律についてのガイドライン（通則編） P.109-111】

↓（Q&Aでの付加的な説明）

Ｑ10－25 「外的環境の把握」について、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。また、この場合、「法第 20 条の規定により保有個人データの安全管理のために講じた措置」（法第 27 条第１項第４号・施行令第８条第１号）として、どのような事項を本人の知り得る状態に置く必要がありますか。

Ａ10－25 外国にある第三者の提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの第三者への「提供」には該当しませんが、個人情報取扱事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります（Ｑ７－53、Ｑ７－54、Ｑ12－３参照）。この場合、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに個人データが保存される場合においても同様です。かかる場合には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。

【「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ P.83】

3.施行期日

「個人情報の保護に関する法律等の一部を改正する法律」の施行日について
令和２年改正法の施行期日を令和４年４月１日としております。

【令和２年改正個人情報保護法について】

4.感想

こちらでも書いた通り、漏れが怖いですね。。。

仰る通りです。

ただでさえ大変なのに、
①利用しているクラウドサービスを網羅的にチェックできている
②関係者が個人情報の定義を正しく理解できている
が揃わなければ漏れが出るので、事前に準備していないと1-3月大変な思いをする気がします…。
— せこ (@seko_law) September 19, 2021