1.今日のテーマ
私も以前から「これ対応きっついな、、、」と感じていて、水町先生がちょうど同じような趣旨のブログを書かれていたものに、令和2年改正個人情報保護法の27条1項4号があります。
昨日は複数企業のプライバシー担当者でミーティングをしていて
— せこ (@seko_law) August 21, 2021
・27条1項4号対応すごく大変だよね
・意見募集結果(通則編)No.468まで皆ちゃんと読んでるんだろうか
との話題で盛り上がりました。「個人データを取り扱わないこととなっている場合」も「提供に該当しない場合」なのでスコープという。 pic.twitter.com/aifszqWXzG
こちらやはり色々ご苦労されている方もいれば、あまり問題意識を持てていない方もいそうでした。ひとまずは後者の方向けに、現状何が求められているのかを整理しました。
2.ガイドライン・Q&Aの記載
個人的なコメントは極力排して、引用中心で記載します。
法第 27 条条(第 1 項)
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(4) 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの【個人情報の保護に関する法律についてのガイドライン (通則編) P.108】
↓(政令での定め)
政令第 8 条
法第 27 条第 1 項第 4 号の政令で定めるものは、次に掲げるものとする。
(1) 法第 20 条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことに より当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)【個人情報の保護に関する法律についてのガイドライン (通則編) P.109】
↓(ガイドラインにおける上記部分の解説)
個人情報取扱事業者は、保有個人データについて、次の①から⑤までの情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)(※1)に置かなければならない。
(中略)
④保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
(中略)
(外的環境の把握)
事例)個人データを保管している A 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施【個人情報の保護に関する法律についてのガイドライン (通則編) P.109-111】
↓(Q&Aでの付加的な説明)
Q10-25 「外的環境の把握」について、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合、当該外国の個人情報 の保護に関する制度等を把握する必要がありますか。 また、この場合、「法第 20 条の規定により保有個人データの安全管理のために講じ た措置」(法第 27 条第1項第4号・施行令第8条第1号)として、どのような事項を 本人の知り得る状態に置く必要がありますか。
A10-25 外国にある第三者の提供するクラウドサービスを利用する場合において、クラ ウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人 データの第三者への「提供」には該当しませんが、個人情報取扱事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(Q7-53、 Q7-54、Q12-3参照)。 この場合、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、 当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要 があります。日本国内に所在するサーバに個人データが保存される場合においても同様 です。 かかる場合には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、個人データが保存されるサーバが所在する 国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する 国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る 状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所 在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が 考えられます。
3.施行期日
「個人情報の保護に関する法律等の一部を改正する法律」の施行日について
令和2年改正法の施行期日を令和4年4月1日としております。
4.感想
こちらでも書いた通り、漏れが怖いですね。。。
仰る通りです。
— せこ (@seko_law) September 19, 2021
ただでさえ大変なのに、
①利用しているクラウドサービスを網羅的にチェックできている
②関係者が個人情報の定義を正しく理解できている
が揃わなければ漏れが出るので、事前に準備していないと1-3月大変な思いをする気がします…。