1.はじめに
本連載では、5回にわたって個人情報保護法ガイドライン案を解説していく予定であった。ところが、第2回でも説明したとおり、2016年11月30日にガイドラインが公表された。たとえば、パブリックコメントにおける意見を踏まえ、外国にある第三者への提供編4頁の図が大幅に修正される(外国にある第三者への提供編〔各ガイドライン案の名称については第1回を参照〕パブリックコメント699番参照)など、ガイドライン案とガイドラインの間には相違があることから、今後はタイトルを「ガイドラインの解説」とし、ガイドライン案ではなく、ガイドラインそのものを、同日に公表されたパブリックコメント結果(それぞれ「外国にある第三者への提供編パブコメ」等、「○○編〔ガイドライン名〕パブコメ」として表記する)に基づき解説していく。
さて、その第3回目となる今回は、外国にある第三者への提供の問題を扱う。
なお、既にご存じの方もいらっしゃるかもしれないが、改正個人情報保護法の全面施行日は平成29年5月30日と決定されたことから、事業者はこの日まで、ガイドラインの内容を元に、改正個人情報保護法対応を済ませなければならない。
【凡例】
法 個人情報の保護に関する法律(平成 15 年法律第 57 号)
政令 個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
規則 個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
改正法 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成 27 年法律第 65 号)
パブコメ 個人情報の保護に関する法律施行令の一部を改正する政令(案)」および「個人情報の保護に関する法律施行規則(案)」に関する意見募集の結果について(平成28年10月5日公示)
2.外国にある第三者への提供の基本
(1)はじめに
外国にある第三者への提供については、法24条が「個人情報取扱事業者は、外国(……)にある第三者(……)に個人データを提供する場合には、前条第 1 項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない*1」として、特別な規制を定めている。個人データの第三者への提供には原則として本人の同意が必要であり、法令で定められた例外事由に該当する場合には本人の同意が不要となる(法23条)が、外国にある第三者への個人データ提供については、国内にある第三者への提供の場合に比べ、その例外事由の内容が異なっており、厳格な要件のもとでのみ本人同意が不要となるということである。
(2)外国にある第三者への提供
そもそも、どのような場合が「外国にある第三者への提供」なのだろうか。
「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者(外国にある第三者への提供編2−2)であり、外国政府を含む。「第三者」か否かについては、法人であれば法人格の同一性が基準となる。
具体的にいえば、日本企業が、外国の法人格を取得している現地子会社に個人データを提供する場合には、当該日本企業にとって「外国にある第三者」への個人データの提供に該当する*2。これに対し、外国にある自社の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しない(外国にある第三者への提供編2−2)。
では、日本国内にある企業が、外資系企業の東京支店(日本法人が存在しない場合)に対して個人データを提供する場合はどうだろうか。この場合、当該外国法人が法2条5項に規定する「個人情報取扱事業者」に該当する場合には、「外国にある第三者」には該当しない*3と解されており(外国にある第三者への提供編2−2)、法23条に基づく一般の第三者提供に関する規律のみが適用される*4。これに対し、国内に事務所があっても「個人情報取扱事業者」に該当しなければ、法24条の規制への対応が必要である(なお、外資系であっても、日本法人であれば、当該日本法人への個人データの提供は通常の第三者提供の問題となり、外国にある第三者への提供の問題ではない)*5。
(3)適法に外国第三者提供をする方法の概要
法24条には、上記で省略した括弧書きにおいても例外(下記③と④)が定められていることから(注1参照)、外国にある第三者に適法に個人データを提供するためには、以下の4つの方法がある。
①本人の同意を得る
②法23条1項各号に掲げる場合に該当する
③「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定める」外国にある第三者に提供する
④「個人データの取扱いについてこの節〔筆者注:法第4章第1節のこと〕の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」に提供する
そして、外国にある第三者への提供の場合には、法23条の定める委託、事業承継または共同利用の場合等の事情があるとしても、なお原則として本人の同意が必要であり、法24条の定める特別な例外事由に該当しなければ、本人の同意なき外国にある第三者への提供を行うことはできない*6。
ここで、2015年改正前の法に基づき外国にある第三者に対する個人データの提供を法23条の規定に基づいて行っている個人情報取扱事業者は、法24条を踏まえ、どのような対応をすべきだろうか。以下検討する。
ア 本人の同意に基づく場合(法23条1項柱書・外国にある第三者への提供編2(1))
本人の同意は法24条の規定する外国にある第三者に対する提供のための原則的な要件である。もっとも、「何について本人が同意しているか」には十分に留意が必要である。
本人の同意については、「本人の同意を取得する場合、本人の権利利益保護の観点から、外国にある第三者に個人データを提供することを明確にしなければなら」ず、「事業の性質及び個人情報の取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならない」とされている(外国にある第三者への提供編2−1)。具体的な同意のとり方としては、(a)提供先の国名を個別に示す方法、(b)実質的に本人からみて提供先の国名を特定できる方法、(c)国名を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法などがある(外国にある第三者への提供編パブコメ716番)。たとえば「アメリカの企業に私の個人情報/個人データを提供することに同意します」といった同意が必要である。
また、一般論として、「日本国内の第三者に限定する」旨や「外国にある第三者に提供してはならない」旨の明示がないことのみをもって、法24条の同意があるものとはみなされないとされている点も留意が必要である(外国にある第三者への提供編パブコメ723番)。
仮に、取得した同意が単なる法23条の同意であって法24条の同意でないとみなされる場合には、上記の③または④にあてはまる必要がある。
イ オプトアウトの場合(法23条2項・外国にある第三者への提供編2(2))
法23条2項の定めるオプトアウト、すなわち、本人に事後的に第三者提供停止の機会を与えるための一定の要件を満たした上で本人の同意なく個人データを第三者に提供する場合には、本人同意の不存在を前提とする(外国にある第三者への提供編2末尾の(注)参照)ことから、上記の③または④にあてはまる必要がある。
ウ 委託、事業承継または共同利用の場合(法23条5項・外国にある第三者への提供編2(3))
法23条によれば、委託、事業承継または共同利用の場合には、本人同意なしに(国内の)第三者に個人データを提供することができる。しかし、法24条は、委託、事業承継または共同利用があっても必ずしも本人同意を不要とはしない。そこで、法24条の「外国にある第三者への提供を認める旨の本人の同意」を得るか、上記の③か④にあてはまる必要がある。
エ 法23条1項各号に該当する場合(外国にある第三者への提供編2(5))
法23条1項各号に該当する場合、具体的には以下の各場合に、本人の同意等なくこれを外国にある第三者に提供することができる(法24条)。
・法令に基づく場合(法23条1項1号)
・人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法23条1項2号)
・公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法23条1項3号)
・国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法23条1項4号)
なお、いかなる場合に、法23条1項各号に該当するかは、基本的には法23条1項各号に関する解釈による(通則編3−4−1参照)が、法23条1項1号および4号の「法令」につき、「この『法令』には外国の法令は含まれない」(外国にある第三者への提供編2*3)とされている点には留意が必要である。要するに、単に外国法令により要求されているというだけでは必ずしもこの法23条1項各号に該当する場合の例外にはあてはまらず、その他の例外を検討する必要があるということである。
(4)「規則」の概要
このように、適法に外国にある第三者に対する提供を行う上では、いくつかの方法があるものの、実務上、特に本人の同意を得ることが困難な場合において重要となってくるのは上記③と④であり、これらの要件はいずれも「規則」で定めるとされている。
このうち、③規則で定める外国にある者については、現時点では規則による「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」の指定はない。2016年5月30日の本格施行段階においても、規則による指定はなされない予定であるが、その後のプライバシー外交の進展状況をふまえ、今後指定に向けて検討を続けるものと思われる(たとえば、外国にある第三者への提供編パブコメ694番)。
そこで、実務上の重要性が特に高いのは④規則で定める基準に適合する体制を整備している者であるところ、規則11条は、法24条の個人情報保護委員会規則で定める基準を、次の各号のいずれかに該当することと定めている*7。
(1) 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第 4 章第 1 節の規定の趣旨に沿った措置の実施が確保されていること
(2) 個人データの提供を受ける者が、個人情報の取扱いにかかる国際的な枠組みに基づく認定を受けていること
このうち、国際的枠組み(規則11条2号)については、提供先の外国にある第三者が、APECの越境プライバシールール(CBPR)システムの認証を得ていることとされている(外国にある第三者への提供編3−3)*8。
そこで、「個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること」の要件が重要となることから、以下その概要について説明したい。
3.法第4章第1節の規定の趣旨に沿った措置の概要
(1)はじめに
では、どのような場合に、「個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第 4 章第 1 節の規定の趣旨に沿った措置の実施が確保されていること」の要件を満たすことになるのだろうか。
要するに、個人データ提供元の日本企業Aと、提供を受ける外国にある第三者Bの間で契約の締結等何らかの合理的な方法によって、Bが実質的に日本の個人情報保護法における個人情報取扱事業者の義務と同趣旨の措置を講じることが担保されていれば、AはBに個人データを提供できるということである。Bが必要な体制を確保しているかについて、個人情報保護委員会の認証や届出等は不要であるため(外国にある第三者への提供編3参照)、実務的には、弁護士等の専門家に確認しながら対応をすることが想定される。
(2)「当該個人データの取扱いについて」
時々、「
あくまでも、
(3)「適切かつ合理的な方法」
まず、これらの措置の実施の確保のためには「適切かつ合理的な方法」が必要である。資本関係等のない当事者間であれば「契約、確認書、覚書等」が必要であろう(外国にある第三者への提供編3−1)。「契約、確認書、覚書等」には、サービス約款や利用規約も含まれる(外国にある第三者への提供編パブコメ754番)*10。資本関係のある当事者であればグループ内で「共通して適用される内規、プライバシーポリシー等」でもよいとされている(外国にある第三者への提供編3−1)*11。
「日本の個人情報保護法に従い取り扱う」との文言を契約に盛り込むだけでは足りず(外国にある第三者への提供編パブコメ752番)、また、EU等の比較的データ保護に厚いとされている国であっても「当該国の法令を遵守すること」のみを約するだけでは一概に十分とはいえないとされ(外国にある第三者への提供編パブコメ754番)、「OECDプライバシーガイドライン」や「APECプライバシーフレームワーク」に準拠すると約した場合でも同様にそれのみをもって十分とはいえないとされている(外国にある第三者への提供編パブコメ761番、765番)ことにも留意が必要である*12。
(4)法第4章第1節の規定の趣旨に沿った措置
何が「法第 4 章第 1 節の規定の趣旨に沿った措置」なのかについては、ガイドライン中に比較的わかりやすい表が掲載され(外国にある第三者への提供編3−2)、ガイドラインの中で解説が付されているので詳述しない(3-2-1以下)。必要に応じてガイドラインを参照されたい*13。
ここで、要求されている内容については、「全ての事項を想定しなければならないものではなく、「法第4章第1節の規定の趣旨」に鑑みて、実質的に適切かつ合理的な方法により、措置の実施が確保されていれば足りる」とされている(外国にある第三者への提供編3−2)。その意味では、多少合意内容等に漏れがあっても、全体としてみた場合には適法とされる余地がある。
もっとも、現段階においてはどのような場合に省略が許されるか不明であり、少なくとも本格施行当初は、上記のガイドラインに規定されている各事項に関する措置がすべて規定された契約雛形等を弁護士が作成し、これを利用することになるのではないかと思われる*14。
*1:「個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。」
*2:たとえば、外国にある第三者への提供の該当性の判断について「同一の企業グループに属するか否かで一律に判断されるものではないと考えられます」とする、外国にある第三者への提供編パブコメ732番も参照。
*3:たとえば日本のA社が、外国企業B社東京支店に個人データを提供した場合、当該AからBへの提供だけではなく、その後B社東京支店からB社本店に個人データが移転する場合もまた法24条に基づく同意は不要である(外国にある第三者への提供編パブコメ735番)。
*4:個人情報取扱事業者への該当性は、事業の実態を勘案して、日本国内で個人情報データベース等を事業の用に供していると認められるか否かを個別の事例ごとに判断される(外国にある第三者への提供編パブコメ728番)。その際に、一般論としては、
・日本国内に事務所を設置しているか否か
・日本国内で事業活動(例:営業・勧誘)を行っているのか、海外から事業活動を行っているのか
・個人データの提供先や提供にかかる契約などの相手先が、外国法人の外国事業所であるか、日本国内の事務所であるか
・提供される個人データが格納されるサーバーが日本国内にあるか否か
といった観点も判断要素となりうる(外国にある第三者への提供編パブコメ730番)。
*5:「一般論として、日本国内で個人情報データベース等を事業の用に供しているとは認められない場合においては、国内に拠点が有るか否かを問わず、個人情報取扱事業者には該当せず、『外国にある第三者』に該当するものと考えられます。」(外国にある第三者への提供編パブコメ731番)
*6:「この場合においては前条〔注:法23条〕の規定は、適用しない。」(法24条)
*7:なお、規則11条の基準を満たす体制を整備する者に対して、個人データの取扱いを委託する場合、法25条・26条の確認・記録義務の適用もない(外国にある第三者への提供編パブコメ820番)。
*8:個人情報保護委員会は、当面はCBPRのみを国際的な枠組みとして考える方針のようであり(外国にある第三者への提供編パブコメ801番)、それ以外の認証を取得していても、規則11条2項には該当しないという趣旨と理解される。
*9:とはいえ、一番レベルの高いところに合わせて一律の扱いをしないと実務上「このデータにはどの扱いが求められるのか」といった個別判断が必要になり、かえって混乱を招く等の理由で、結果として全データについてそのような取扱いがなされることになる可能性は否定できない。
*10:「契約、確認書、覚書等」については、一律に署名・押印等を求めるものではないが、一般論として、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要があるとされている(外国にある第三者への提供編パブコメ748番)
*11:改正法施行時点で、法第4章第1節の規定の趣旨に沿った措置が提供先の内規で既に規定されていれば,未規定の部分についてのみ提供の際の覚書等で措置を継続的に講ずることを担保すればよい(外国にある第三者への提供編パブコメ749番)。
*12:なお、CBPR認証は上記の通り、提供先の外国企業がこれを有していればそれだけで国際的枠組みを理由として要件を満たす(規則11条2号)ものの、提供元である個人情報取扱事業者がCBPRの認証を取得している場合には、「適切かつ合理的な方法」(規則11条1号)との関係で別の影響があり得る。すなわち、提供元企業Aが、CBPR認証を有しており、提供先企業BがAにとって「当該個人情報取扱事業者に代わって個人情報を取り扱う者」である場合、CBPR認証の要件として、Aが本人に対して負う義務がBにおいて同様に履行されることを確保する措置をBとの間で整備しなければならない。そしてそのような措置が整備されていてCBPRの認証の取得要件を充たすことも、「適切かつ合理的な方法」の1つであるとされている(外国にある第三者への提供編3−1、外国にある第三者への提供編パブコメ757番)。
*13:なお、要配慮個人情報の外国にある第三者への提供については外国にある第三者への提供編パブコメ779番が参考になる。
*14:上記のガイドラインの記載はあくまでも、誠実に法および規則の定める義務を遵守しようとしている会社に対しては規定に漏れがあってもただちに違法とまではいわない、という程度の事後的「救済措置」がありうることを示唆するというだけかもしれない。