トップ > 個人情報保護法 > 改正個人情報保護法ガイドライン_ 外国にある第三者への提供編

改正個人情報保護法ガイドライン_ 外国にある第三者への提供編

個人情報保護法

今週、恐らく多くの方が待っていたと思われる令和2年改正個人情報保護法のガイドライン(案)が公開されました(以下、新ガイドライン(案)と言います)。

令和2年改正個人情報保護法(以下、令和2年改正法と言います)は、施行期日が令和4年4月1日となっています。そのため、各企業は確定後のガイドラインも踏まえつつ後11ヶ月ちょっとで対応を完了する必要があります。そんな背景もあり、関係者はまだかまだかとガイドラインの公開を待っていたことと思います。

私も少しづつ読み進めているのですが、今日は「外国にある第三者への提供編」で考えたことを記事にしようと思います。

f:id:seko-law:20210522123100p:plain

 

1.検討テーマ

本日の検討対象の条文としては24条で、外国にある第三者に個人データの取扱いを委託する場合の適法化根拠について考えてみます。

この辺りの条文構造やロジックの説明は、サインのリ・デザインさんの記事がわかりやすいので未読でしたらご覧いただくと良いと思います。「個人情報の委託と第三者提供の本人同意取得義務との関係」の段落に記載があります。 

2.問題意識

条文構造やロジックの説明を丸投げした所で、本日話したい部分(=問題意識)について説明したいと思います。

(1)今まで

a)法律上の整理

「外国にある第三者に個人データの取扱いを委託する場合の適法化根拠」については、

  • 「同意」(現行法24条)を取得
  • 「体制を整備」(現行法24条)

のどちらか、または両者併用で対応している所が多かったのではないかと思います。

b)私の認識

現行法においては「必ずしも当該外国の国名や当該外国における個人情報保護に関する制度についての情報提供までは求められていません」(一問一答 令和2年個人情報保護法)との理解の下、同意取得時に具体的な国名までは列挙しない運用が一定程度広まっていたと思います。

そのため、各社にとっても同意を取得することがそこまで負担の大きいものではなく、「同意」と「体制を整備」の両者併用でやっていることも多かったのかなと思います。この同意を取得しつつ裏では体制も整備するという方法は、結果としてユーザーの保護にも資するもので、現行法下における運用としては良いことかなという認識をしていました。

(2)今後

a)法律上の整理

令和2年改正法では、「同意を取得する場合」「体制を整備する場合」の両方で要件が厳しくなりました。

・同意を取得する場合

法第24条(第2項)

あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

規則第11条の3

2 法第24条第2項又は法第26条の21項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
(1) 当該外国の名称
(2) 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
(3) 当該第三者が講ずる個人情報の保護のための措置に関する情報

 ・体制を整備する場合

法第24条(第3項)

当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

b)私の認識

この改正により、”体制整備ではクリアできる(しやすい)けど、同意ではクリアできない(しにくい、したくない)”あるいは”その逆”みたいなケースがある程度出てくるのではと考えていいます。

具体例を出してみます。例えば、ちょっとプライバシーポリシーなどで大っぴらには「ここに委託しています」と言いにくいけれども、体制整備は可能みたいなケースです。*1

このような場合、

  • ある程度の限定的な文言により同意を取る
  • 個別に体制を整備

ということをする企業が一定出てくるのではないかと思います。

このようなことは現行法でももちろんありえたことなのですが、同意の要求水準がそこまで高くなかったことから、最初からあえてそのようなことを行うモチベーションが企業にとって低かったと思います。他方、改正法下では上述のような意図で、最初からあえてそのように適法化根拠を使い分けたいという企業側のモチベーションが生じるのではないかと思っています。

  • 同意を取られた時は、A国・B国・C国にしか委託がされていないと思っていたが、裏では相当措置によりユーザーの認識していないD国に委託がされていた

とかってなると、なんだか気持ち悪さは残りますよね。*2

3.他国法ではどうなっているか

他国法での参考になりそうな制度を検討してみます。

GDPRでは、個人データを取扱うに際して適法化根拠を要求しています。適法化根拠は第6条1項に列挙されていて、その一つが同意です。そして、GDPRでは同意についてのガイドラインで以下のように述べて、個人データ取扱いの適法化根拠の乗り換えを禁止しています。

f:id:seko-law:20210522123217p:plain

今回新ガイドライン(案)では、GDPRでのこういったルールを参考に何らか牽制をするような記載が出てくるかな?と思って読んでいました。

4.新ガイドライン(案)の記載

関係しそうな記載は今の所以下の通りで、上で私が述べたようなことはあまり意識はされておらず併用は当然に認められそうな雰囲気ですね。

f:id:seko-law:20210522123237p:plain

------------------

以上です。
私も上述のような問題意識を持っているとはいえ、同意だけだと制度的に使いにくい部分があることは当然認識していて、どのような運用が良いのかな…というのは、残されたもう少しの期間で考えてみようと思います。 

*1:そもそも体制整備もできないような委託であればそれは違法なので、ここのスコープには入れていません。あくまで適法に委託はできるが、企業イメージの観点からプライバシーポリシーでは大々的に謳いたくない、みたいなケースを想定します。

*2:また、同意の撤回が仮に認められる場合、同意が撤回された後にも相当措置を根拠に委託を維持できるかということも問題になりそうです