改正個人情報保護法については以前から「これ実際どうするんだろうな…」と思っていた点が2つあって、それは
- 越境移転時の本人への情報提供
- 本人による開示請求の6ヶ月要件撤廃
なのですが、今回はこのうち前者について考えてみようと思います。*1
1.改正後の条文
「越境移転時の本人への情報提供」について定めているのが、以下の改正24条です。
-------------------------
- 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。) (個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の 保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除 く。以下この条及び第26条の2第1項第2号において同じ。)にある第三者(個人デー タの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされて いる措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずる ために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備 している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある 第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、 同条の規定は、適用しない。
- 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、 個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
- 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制 を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
-------------------------
2.対応の分類
上で引用した通りではありますが、長くてやや見にくいので各項で情報提供が必要とされている項目を整理します。
- 外国における個人情報の保護に関する制度
- 第三者が講ずる個人情報の保護のための措置
- その他当該本人に参考となるべき情報
- 第三者による相当措置の継続的な実施を確保するために必要な措置に関する情報
このうち2-4は各社・各案件固有の話ですが、1については会社や案件ごとに提供すべき内容は原則として異ならないはずです。*2
3.「 外国における個人情報の保護に関する制度」の情報提供
(1)問題意識
「会社や案件ごとに提供すべき内容は原則として異ならない」ものを、本当に各社毎にそれぞれ作らせるんですかね?めっちゃ無駄じゃない?と思うんですが。
(2)世間的な動向
国会議員の山田太郎さんが、恐らく同種の問題意識に基づいて質問してくれています。*3
第201回国会参・内閣委員会第13号(令和2年6月4日)
○山田太郎君 もう一つ、外国における個人情報保護制度を情報提供する件については、その事業者が独自に外国における個人情報の保護に関する制度等の情 報を調査して提供しなきゃいけないとなっているんですけど、これもまた企業にとっては大変重たい状況だと思います。
これらの情報については、多分、できれば個人情報保護委員会さんが外国の制度を調査してウエブで例えば公表すると、その公表されたものを各事業者として、委員会が公表したからということでその情報を提供するというような、少し便宜というか図ってあげないと、個社が個々の外国法制に対して全て調べてい くということはほぼ難しいし、同じようなことを社会でもってみんながそれぞれ調べ合うというのもどうかと思いますので、その辺りの便宜ということは図っていただけないでしょうか。
○政府参考人(其田真理君) 今回の改正は、越境移転を行う事業者において移転先の環境を認識していただくという趣旨もございまして、企業が自らの取組をお願いしたいというのが基本でございますけれども、委員会といたしましても、外国の個人情報保護制度につきまして、参考となる情報を提供してまいりたいと考えております
と言う事で、参考となる情報は提供いただける様ですが「企業が自らの取組をお願いしたいというのが基本」と言う事であればこれに期待しすぎるのは危険かなと思います。
また、経営法友会のセミナーでは個人情報保護委員会の方から以下の様なコメントがあった様です。
移転先の国の法制度を説明する必要があるが、そのレベル感は「日本の個人情報保護法との本質的な差異等、必要最低限の内容・粒度を想定」とのこと。詳細は規則・ガイドラインにて公表されるが想定される例は下記とのこと。
「我が国の個人情報保護法と同様の法令が存在するが、○○に関する義務が存在しない点で大きく異なる」
「APEC 越境プライバシールール( CBPR )加盟国であり、我が国とほとんど同様の個人情報保護法制が存在する」
「個人情報保護法制が存在するものの、政府による個人データのアクセスについて、特段の制限がみられない」等出典:Nobody's 法務「【ウェビナーメモ】令和2年改正個人情報保護法について」
しかし、これは「本人」への情報提供なので「我が国の個人情報保護法と同様の法令が存在するが」とか「APEC 越境プライバシールール( CBPR )加盟国であり」みたいな、「本人」が日本や世界の個人情報保護法制に習熟していることを前提にするかのような説明の仕方は不適切だと私は思います。条文の趣旨に立ち返れば、「本人」目線で知りたい情報、必要な情報を提供する必要があると考えます。
(3)私案
だったらもう皆で作って、皆で使えばいいのに…と思うんですけどね。
なので試験的にこんなの作ってみました。こういうの皆で作って皆で使いません?
(4)若干の解説
リンク先に記載されている「2.記載フォーマット」について若干説明します。
「本人」目線で知りたい情報、必要な情報を提供する必要がある
との考えの下、以下のようなフォーマットが良いのかなと考えました。
----------------------------
1.「本人」が自分で理解を深める上で必要になる情報
a.提供される個人データについて「第三者」に課されている制約
取得:
処理:
提供:
廃棄:
b.提供される個人データについて「外国」が持っている権利
2.「本人」が他人に相談する上で必要になる情報
a.「個人情報の保護に関する制度」を規定する法律
b.「個人情報の保護に関する制度」を司る当局
----------------------------
ご本人としては、外国に自分の個人データが提供されると知った場合、
・それ本当に提供しちゃって大丈夫なの?
・「第三者」はちゃんと個人データを管理しなきゃいけない制度になってんの?
・「第三者」はちゃんとやってても、国が介入してきたりしないの?
・もう自分じゃよく解らないから他の人に相談したいけど何て説明したら良いの
と考えるんじゃないかと想像してフォーマットを考えてみました。