改正個人情報保護法対応_越境移転のリスク評価

今日たまたまGDPR担当の同僚と少し議論をしていたのですが、その際改正個人情報保護法対応でも参考になりそうな、面白い話があったのでぜひ共有したいなと思って記事にします。

f:id:seko-law:20210608212538p:plain

 1.改正個人情報保護法のガイドライン

皆さん、もう改正個人情報保護法のガイドライン(案)は読まれましたか?パブコメ中とはいえ、大枠固まってきたかなという感じなのでそろそろこちらを元に動き出している会社も多いかと思います。

今日取り上げるのは、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」の24条2項に関する部分です。

2.改正個人情報保護法24条2項

(1)24条1項とは

まず24条1項は、外国にある第三者への提供の制限についての条文です。かなりテクニカルな条文ですが、外国にある第三者へ提供ができるパターンがいくつか書かれています(一応引用しますが、別に読み飛ばしても後続の文章に影響しないので大丈夫です)。

法第24条
1 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国 として個人情報保護委員会規則で定めるものを除く。以下この条及び第 26 条の 2 第 1 項第 2 号において同じ。)にある第三者(個人データ の取扱いについてこの節の規定により個人情報取扱事業者が講ずべき こととされている措置に相当する措置(第 3 項において「相当措置」 という。)を継続的に講ずるために必要なものとして個人情報保護委 員会規則で定める基準に適合する体制を整備している者を除く。以下 この項及び次項並びに同号において同じ。)に個人データを提供する 場合には、前条第 1 項各号に掲げる場合を除くほか、あらかじめ外国 にある第三者への提供を認める旨の本人の同意を得なければならな い。この場合においては、同条の規定は、適用しない。

ここでは、同意を取得することによって「外国にある第三者への提供」が認められるパターンがあることだけ理解ください。

(1)24条2項とは

そして次の2項は何かというと、同意で外国にある第三者への提供を行うパターンを採用する場合に、本人に情報提供を行わなければいけないことが書かれています。

法第24条(第2項)
2  個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

(2)ガイドライン

そしてようやくガイドラインです。

24条2項について書かれている部分で以下の記載があります。

個人データの越境移転に当たっては、提供元の個人情報取扱事業者において、提供先の第三者が所在する外国に個人データを移転することについてのリスクを評価し、個人データの移転の必要性について吟味した上で、 本人に対しても、分かりやすい情報提供を行うことが重要である。

上述の通り24条2項って本人への情報提供の話なのですが、さらっと「リスク評価をしろ」って文言が入っているんですよね。

もちろん委託に際して一般的なリスク評価をしている所は多いとは思うのですが、「外国に個人データを移転することについてのリスク」をしっかり(そこにフォーカスして制度的に)評価していますよって会社はそこまで多くないのではないでしょうか?

PPCがどこまでの温度感でこれを書いているかわかりませんが、外国に委託する場合のリスク評価スキームって皆さん検討できています?というのが今日の記事の問いです。

3.GDPRでの動き

(1)欧州委員会の決定

ここで冒頭の同僚との話に戻ります。

最近欧州委員会が、第三国への個人データ移転のための SCC に関する決定を出しました。GDPRとは…とか、SCCとは…みたいな話は今日話したいことではないので割愛します。ひとまず欧州委員会が「第三国への個人データ移転」についての文書を出したことだけご理解ください。そしてその文書の内容について今日同僚と議論していたのですが、丁度上記のリスク評価の参考になりそうな記載があり

「これ日本の改正個人情報保護法対応でも使えるんじゃないか」

と盛り上がったというのが記事を書こうと思った発端です。

(2)Clause 14

記載場所としては、こちらの文書の"Clause 14 Local laws and practices affecting compliance with the Clauses"になります。

「海外移転の時はこう言った点を考慮しろよ」みたいなことが書かれています。改正個人情報保護法対応を行う日本企業に置き換えると、「海外の企業に委託する時はこう言った点を軸にリスクを評価しろよ」というアドバイスに変換できそうです。

少し引用文を太字にしながらコメントをつけてみます。

    1. (i)  the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

  • 確かに、委託のHop数というか委託→再委託→再々委託みたいなthe length of the processing chainが増えていくにつれてリスクは上がっていきそうです。
  • 相手が企業なのか個人事業主なのかもリスクには影響しそうです。
  • データの所在地もリスクに影響するというのはその通りかなと思います。
    1. (ii)  the laws and practices of the third country of destinationincluding those requiring the disclosure of data to public authorities or authorising access by such authorities relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards12;

  • 公的機関に情報を開示しなければいけなかったり、アクセスを認めたりする法律がある国かどうかは、リスクを考える上でやはり大きな考慮要素だと思います
    1. (iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.

  • 他方で、何らかリスクを低減させるようなsafeguardsがあれば、当然それは考慮できますよね。

(3)今後の展望

このリスク評価、Transfer Impact Assessment(TIA)って呼ばれたりしているみたいなのですが、TIAについての公式なガイドラインが出るといいなと思っています。上記要素をもっと具体例挙げて検討してくれたり、最後に評価を統合する際の指針とか与えてくれるととても助かります。

また、フランスのCNIL(日本で言う個人情報保護委員会のような組織)なんかがわかりやすいパンフレットとか出してくれるといいのになとも思いますね。

(4)おまけ

西村あさひ法律事務所のヨーロッパニューズレター(2021年6月8日号)にも、以下のような記載を見つけました。

令和 2 年改正後の個人情報保護法においても、越境移転に際して、移転先の国の法制度と移転先の事業者が講じる措置について確認が必要となるため、日本企業においては改正個人情報保護法への対応と、この TIA を効率よく確認していく手順の検討が重要であると考えられます。TIA は、評価項目の整理、どのような記載があれば十分か、そして、各項目の重み付けと、それらを踏まえた総合評価の在り方など、日本企業にとっては馴染みのない作業であるかもしれません。

さすが天下の西村あさひ法律事務所ですね、その通りだと思います。私はひとまずCNILの活躍に期待することにします。

以上です