1 ガイドライン通則編の改正
令和3年10月29日付(同年11月17日更新)でガイドライン通則編が改正され、安全管理措置(個人情報保護法23条)の内容として、10-7に「外的環境の把握」が入り、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データ の安全管理のために必要かつ適切な措置を講じなければならない。」とされている(以下「外的環境把握規制」という)。改正されたガイドラインは、改正後の個人情報保護法、同法施行令および同法施行規則の施行日と同じ2022年4月1日から施行される。
2 外的環境把握規制の趣旨
近時では、インターネットを通じて情報が瞬時に世界中を駆け巡る。そこで、外国において個人データを取り扱うこともよく見られる。外国においては、そもそも、いわゆるOECDプライバシーガイドライン8原則のように、日本等の個人情報保護法制上必須と思われるような本人保護の制度が認められていないこともある。また、日本とは異なり、データローカリゼーション規制やガバメントアクセス*1等の、本人の権利利益保護の観点から留意すべき規制が存在することもある。
特に経済安全保障の問題*2が注目される中、外国で個人データを取り扱うことそのものが禁止されるわけではないものの、いざ外国で取り扱うならば、事業者としては、このような当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講じるべきであろう。そのような観点から、上記ガイドライン通則編10-7の外的環境把握規制が導入されている。
ここで、重要なのは、直接的には個情法改正により「外国にある第三者への個人データの提供の制限に係る規律が強化され、事業者から本人への情報提供の充実等が求められること」*3を背景としているものの、個人情報保護委員会が31の国と地域*4について、上記の観点から重要な制度の調査をしていることである*5。
例えば米国(連邦)*6を例にとると、APECの CBPRシステムに2012年7月25日に参加した旨が記載されたうえで、「我が国と同じくAPECのCBPRシステムに参加しているエコノミーにおいては、APECのプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APECのCBPRシステム参加エコノミーであることは、『個人情報の保護に関する制度についての指標となり得る情報』に該当する」とし、外国第三者提供に際しての本人同意取得(個人情報保護法8条1項)に関して、「APECのCBPRシステム参加エコノミーである場合、民間部門については、外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるため、本項目〔注:OECD プライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利〕に係る情報提供は必ずしも行う必要がない」とする。また、「その他本人の権利利益に重大な影響を及ぼす可能性のある制度」、具体的にはデータローカリゼーション規制やガバメントアクセス等については特に存在しない旨の記載がある。
現実的には、このような個人情報保護委員会の提供する情報をベースに、いわゆる日本の個人情報保護法制(特に、個人データの安全管理に関係する部分)との「差分」を識別し、当該「差分」に対し、なぜそのような法制度上は当然には埋まらない「差分」があるにもかかわらず、本人にとって個人データの安全管理上、保護の水準が日本国内で取り扱われる場合と比べて切り下げられないと言えるのか、という点を踏まえた「必要かつ適切な措置」を講ずべきことになる*7。
このような総論的検討に加え、個人データの取扱いの類型としては、以下の4類型があるところ、日本企業に関係する最初の3類型について検討したうえで、それぞれの類型においてプライバシーポリシーに何を規定するかを解説する。
3 支店・営業所の場合
外国支店・営業所で個人データの取扱いをする企業は、外国において個人データを取り扱うこととなるため、支店等が所在する外国の個人情報の保護に関する制度等を把握したうえで、安全管理措置を講じる必要がある。これは、外国にある支店等や従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様である(Q&A10-23)。
ここで、外国支店・営業所においても、本社と法人格という観点からは同一であることから、基本的には、本社の(日本の個人情報保護法に準拠した)社内ルールが適用されると思われる。そこで、少なくとも、適用法令上必ずしもOECD プライバシーガイドライン8原則のすべてが要請されていない場合であっても、日本の個人情報保護法に準拠した社内ルールの適用によりその「差分」を埋めているという説明ができることになるだろう。ただし、それだけでは必ずしもデータローカリゼーション規制やガバメントアクセス等について当然に対応できるわけではなく、このような規制が存在する国および地域については、別途現地法をベースにした内部規程による対応等、別の方法を考える必要があるだろう。
加えて、Q&A10-23が越境テレワークを想定した記述を含んでいることも重要である。例えば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度等も把握して安全管理措置を講じる必要があるとされている。新型コロナウイルス感染症対策としてテレワークが急速に普及しており、従業員が事業者の取り扱う個人情報データベース等に通信回線を通じてアクセスする場面も増加している。その場合でも外国からの越境テレワークはまだ一般的ではないと思われるものの、外国からアクセスさせる場合には、外的環境把握規制がかかることに留意が必要である*8。
なお、金融機関等の場合には、別途金融機関に適用されるガイドライン等を参照されたい*9。
4 委託の場合
委託や再委託(再々委託やそれ以降も含み、以下、そのような先を「(再)委託先」と総称する)のいずれかの過程で外国にある第三者が個人データの取扱いをする場合、委託元は、(再)委託先を通じて外国において個人データを取り扱うこととなるため、(再)委託先が所在する外国の個人情報の保護に関する制度等を把握したうえで、(再)委託先の監督その他の安全管理措置を講じる必要がある(Q&A10-24)。
外国の(再)委託先が日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合において外的環境把握規制がかかることは既にQ&Aに明記されている。しかし、日本の(再)委託先が外国に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においてこの義務がかかるかは明確ではない。とはいえ、この場合でも、「(再)委託先を通じて外国において個人データを取り扱うこととなる」という点は、Q&A10-25のクラウドと同様であり、保守的対応としてはこれに含めるべきだろう。
日本法人の(再)委託先 |
外的環境把握義務なし |
明記なし*10(ただし、保守的対応としては外的環境把握を行うべき) |
外国法人の(再)委託先 |
外的環境把握義務あり (Q&A10-24で明記) |
外的環境把握義務あり(典型例) |
外国にある第三者たる(再)委託先への委託の場合には、①個人データの外国第三者提供規制と、②外的環境把握規制の双方がかかると解されていることに留意されたい(Q&A10-24)。そして、実務上は、①個人データの外国第三者提供規制への対応として、相当措置(新28条1項)を継続的に講ずるための体制を整備するために、委託に関する個人データ取り扱いに係る覚書等が締結されていると思われる。
この場合には、新28条1項による本人同意義務を免れることができ、新27条5項1号の委託として、本人の同意なく外国に所在する第三者への個人データの提供が可能となるが、それでもなお外的環境把握規制がかかることになる。そのため、覚書等の内容によって本人の権利利益を確保する措置を担保することを個人データの安全管理のために必要かつ適切な措置とすることが多いと思われるが、これまでの委託に関する個人データ取扱いに係る覚書等において、外的環境把握規制への対応が不十分であれば、改正を機に覚書等の雛形を変更すべきであろう。
5 クラウドの場合
クラウドについて詳しくは、第22回を参照されたい。
要するに、クラウドサービスの利用が委託になる場合は上記4の通りの対応が必要であり、クラウドサービスの利用が委託にならない場合には、①外国にある第三者の提供するクラウドサービスを利用する場合(日本国内に所在するサーバに個人データが保存される場合も含む)か、または②外国のサーバに個人データが保存される場合であれば、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講じることになる。
そして、クラウドの場合には、上記4で述べた覚書等が締結できないことも多いものの、クラウドベンダがホワイトペーパー等で基準・規格の準拠や認証取得、第三者監査等を謳っていることが多い。そこで、上記の「差分」がこのような内容によって担保されているかを確認するのが実務的であろう。
6 プライバシーポリシー上の規定方法
それでは、プライバシーポリシー上において、外的環境把握義務に関し、何を規定すべきか。個人情報保護法32条1項4号、同法施行令10条1号によれば、保有個人データの安全管理のために講じた措置を本人の知り得る状態に置く必要がある。そして従来、本人の知り得る状態に置く方法としてプライバシーポリシーが利用されてきた。
上記3の支店・営業所の場合、外国の制度等を把握して安全管理措置を講じる場合には、「保有個人データの 安全管理のために講じた措置」として、支店等や従業者が所在する外国の名称を明らかにし、当該外国の制度等を把握したうえで講じた措置の内容を本人の知り得る状態に置く必要があるとされている(Q&A10-23)。
上記4の委託の場合、「保有個人データの安全管理のために講じた措置」として、 (再)委託先が所在する外国の名称を明らかにし、当該外国の制度等を把握したうえで講じた措置の内容を本人の知り得る状態に置く必要があるとされている(Q&A10-24)。
上記5のクラウドの場合、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称および個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握したうえで講じた措置の内容を本人の知り得る状態に置く必要があるところ、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する 国を特定できない旨およびその理由、および、②本人に参考となるべき情報を本人の知り得る状態に置く必要がある。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられるとされている(Q&A10-25)。
ここで、多数の個人情報を取り扱う企業では、多数の関係する外国での個人データの取扱いがあり取扱いをプライバシーポリシーにすべて記載する場合には非常に長くなってしまう可能性がある。
そこで、筆者らが関与する案件では、新32条1項柱書括弧書の「本人の求めに応じて遅滞なく回答する場合」を利用する方式、つまり、本人が求めた場合に、保有個人データを保有していることを確認した上で、遅滞なく回答する方式を採用するようアドバイスすることが多い(Q&A9-3は、問合せに対して安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、「本人の知り得る状態」に置いたこととなるとしている)。
なお、改正法施行後の問題となるが、本人の求めに応じて回答する方式を利用する場合に、例えば、「保有個人データについてA氏は米国、B氏は中国、C氏はEU加盟国、D氏は日本国内のみで取扱っている」というケースにおいて、D氏が「外的環境の把握」に関する安全管理措置の内容に関して知り得る状態に置くよう請求があった場合、「当社では、あなたに関する保有個人データは外国で取り扱っていないので、あなたに関して外的環境の把握を把握したうえで講じた安全管理措置を採るべき内容はありません」との回答が可能か、A氏が請求した場合に、(米国の取り扱いについて遅滞なく回答するとして)B氏やC氏に関する中国やEU加盟国の取り扱いについてまで遅滞なく回答する必要があるか等の悩みが出てくると思われる。
この点に関しては未だ十分な議論がないが、条文上は、「本人」の知り得る状態に置けば足りるため、本人に関する保有個人データに係る求めに応じていくことになろう。
以上、まだ実務が固まっていない部分があるものの、筆者らの実務対応を説明した。今後は、令和3年改正対応や、管理規程対応について説明したい。
*1:https://www.soumu.go.jp/main_content/000783869.pdf 参照。
*2:注1参照。
*3:https://www.ppc.go.jp/files/pdf/210917_pp_offshore_kouhyou_sywkqc.pdf
*4:例えば、アメリカでは連邦と3州のみの調査にとどまり、47州について調査がされていないこと等につき留意が必要である。
*5:https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku
*6:https://www.ppc.go.jp/files/pdf/USA_report.pdf
*7:なお、ガイドライン通則編10-7が「当該外国の個人情報の保護に関する制度」(強調筆者)とし、また、外的環境の把握ではなく、外国第三者提供についてではあるが、ガイドライン外国にある第三者への提供編5-2(1)*2が「ここでいう「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められない。もっとも、個人データの越境移転に伴うリスクについて、本人の予測可能性を高めるという制度趣旨を踏まえると、例えば、州法が主要な規律となっている等、州法に関する情報提供が本人の予測可能性の向上に資する場合には、本人に対して、提供先の外国にある第三者が所在する州を示したうえで、州単位での制度についても情報提供を行うことが望ましい。」としている。このことから国レベルの情報提供はマスト、州レベルはベターということではないかと思われる。
*8:なお、「外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも、安全管理措置を講じるにあたって、外国の制度等を把握する必要まではないと考えられる」ともされている。
*9:2022年1月26日付個人情報保護委員会で議論されているガイドライン案として、https://www.ppc.go.jp/files/pdf/220126_shiryou-3-2.pdf 参照。
*10:このパターンの多くは、日本企業A(委託元)が既に外国所在のサーバに個人情報データベース等を入れて事業に利用しているケースで、日本企業B(委託先)が日本から当該サーバにアクセスして個人データを取り扱うという場面であると思われ、そもそも日本企業A(委託元)が外国所在のサーバに個人情報データベース等を入れて事業に利用している時点で外的環境把握規制がかかっているので、委託によって新たにかかるわけではない。ただ、例えば日本企業B(委託先)が新たに外国サーバで情報を取り扱うというパターンは理論的にはありうるだろう。