2018年5月25日、EU域内の個人に関するデータの保護を目的とするGeneral Data Protection Regulation(以下「GDPR」という)が施行された。GDPRでは、一定の例外にあたる場合を除き、EU域内の個人データをEU域外に移転することを禁止しているところ(GDPR44条)、この「一定の例外」の一つとして、「十分なデータ保護の水準を確保している」と欧州委員会が決定した国・地域に移転する場合が認められている。この欧州委員会の決定が、今回のタイトルにも出てくる「十分性認定」である。
今回解説するガイドライン案は、次に述べるとおり、日本がEUから十分性認定を得るために作成されたものであり、この点を念頭に置くと、理解しやすいと思われる。以下、詳しく解説する。
1 本ガイドラインの背景
日本と欧州連合(EU)は、EU域内から日本に移す個人情報の保護について、新たな指針を設けることで合意した*1。これは、法令を改正せずにEUから十分性認定を得るため、新たな指針を設けて、欧州委員会から日本への十分性が認められた際にEU域内から十分性認定により移転を受ける個人データの取扱いに関して最低限遵守すべき規律を示そうというものである。
この合意に沿って、個人情報保護委員会は、個人情報保護法(以下「法」ともいう)6条に基づき*2、「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)」(以下「本ガイドライン」という)を策定して、パブリックコメントにかけた*3。
ところで、すでに個人情報保護法施行規則の改正についてはパブリックコメントが実施されており、2018年5月9日に施行された改正規則11条(現11条を11条の2とする)は、個人の権利利益を保護するうえでわが国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国についての条件を明らかにしている*4。
上記を受け、本ガイドラインのパブリックコメント終了後の2018年5月31日には、日本の個人情報保護委員会委員と、欧州委員会委員との会談が行われ、「早期に、個人情報保護法第24条に基づく個人情報保護委員会によるEUの指定及びGDPR第45条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速すること」が合意された*5。つまり、日本からEUに対する移転は法24条に基づき、EUから日本に対する移転はGDPR45条に基づき、相互に情報を移転できるようにすることが想定されている。
そのためには、日本がEUから十分性認定を受ける必要があるが、EUと日本とでは、データ保護のレベルについて相当程度接近している面もあるものの、なお一定の相違があることは否めない。そこで、十分性認定を受けるために、EUから十分性認定に基づき移転を受ける情報については、概ね以下の5点の対応を行うことが、本年2月の段階で個人情報保護委員会において決定されていた*6。具体的には、
- 「性生活」・「性的指向」・「労働組合」に関する情報に関しては要配慮個人情報と同様の取扱いを行う
- 6か月以内に消去することとなる個人データについても保有個人データとして扱う
- 確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用する
- 再移転する場合の適切な対応
- 匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとする
という5点が要求されている。本ガイドラインは、このような背景のもとで作成されたものである。
2 本ガイドラインの位置付け
本ガイドラインは「EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束し、個人情報取扱事業者はこれを遵守する必要がある」としている。そして、個人情報取扱事業者が本ガイドラインに定める1つ以上の義務を遵守しない場合、個人情報保護委員会は法42条に基づく措置を講ずる権限を有する等としており、違反に対して、その是正を求める勧告や命令が出される可能性がある。
3 要配慮個人情報
要配慮個人情報については「EU域内から十分性認定に基づき提供を受けた個人データに、GDPRにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について法第 2 条第 3 項における要配慮個人情報と同様に取り扱うこととする」(本ガイドライン(1))とされている。これは、日本法とGDPRとで要配慮個人情報ないし特別な種類の個人データの定義が違うことから、GDPRに合わせて要配慮個人情報の範囲を拡大するものである。
4 保有個人データ
「個人情報取扱事業者が、EU域内から十分性認定に基づき提供を受けた個人データについては、消去することとしている期間にかかわらず、法第 2 条第 7 項における保有個人データとして取り扱うこととする」(本ガイドライン(2))とされている。これは、日本の個人情報保護法では6か月以内に消去が予定されているものを「保有個人データ」から除外しているところ(法2条7項、政令5条)、GDPRでは、本人からの請求への対応等の義務を負うデータについて6か月以上の保有等の要件を課していないので、日本もそれに合わせて除外しないものとしたという趣旨である。
5 利用目的の特定、利用目的による制限
「EU域内から十分性認定に基づき個人データの提供を受ける場合、法26 条第1項及び第3項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする」(本ガイドライン(3))とされている。これは、国内での再移転でも同様である(本ガイドライン(3))。そして「当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする」とされている(本ガイドライン(3))。
法26 条1項および3項は取得の経緯の確認・記録を求めているところ、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録編)」3−1−2は、「『取得の経緯』の具体的な内容は、個人データの内容、第三者提供の態様などにより異なり得るが、基本的には、取得先の別(顧客としての本人、従業員としての本人、他の個人情 報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければならない」としており、利用目的まで確認しなければならないとは解されていなかった。
本ガイドラインの適用がある場合、利用目的の確認・記録をしたうえで、その範囲で利用目的を特定する必要があることには十分注意が必要である。
6 外国にある第三者への提供の制限
いわゆる外国への再提供については、同意・同等性認定・法4章の措置の確保・法23条1項各号という法24条の枠組みが基本的に適用されるものの、「本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の 本人の同意を得る」(本ガイドライン(4))、「個人情報取扱事業者と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、本ガイドラインを含め法と同等水準の個人情報の保護に関する措置を連携して実施」する(本ガイドライン(4))という点において、追加的義務を負う点に留意が必要である。
7 匿名加工情報
EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等および個人識別符号ならびに法 36 条 1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る)をいう)を削除することにより、 匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法2条9項に定める匿名加工情報とみなすこととされている(本ガイドライン(5))。
匿名加工情報は、厳重に扱う限りにおいて加工方法等情報を削除しなくてもよかったのであるが、本ガイドラインによって追加的義務が課されていることに留意が必要である。
*1:日経新聞2018年4月26日付記事「個人情報保護、日欧で指針、円滑な移転へ合意、利用目的や取得経緯を記録、事業展開を後押し。」
*2:6月25日付で公表された「個人情報の保護に関する基本方針の一部変更について」(https://www.ppc.go.jp/personal/legal/#kihonhoushin)
*3:「『個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)』に関する意見募集について」(https://www.ppc.go.jp/files/pdf/300423_shiryou2-1.pdf)参照。
*4:「個人情報保護法第24条に係る委員会規則の改正について 」(https://www.ppc.go.jp/files/pdf/300423_shiryou1-1.pdf)参照。
*5:https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/
*6:第53回個人情報保護委員会「資料1 EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について」(https://www.ppc.go.jp/enforcement/minutes/2017/20180209/)