令和4年4月1日施行改正個人情報保護法について(後編) ブックマークが追加されました
ナレッジ
令和4年4月1日施行改正個人情報保護法について(後編)
~個人データの外国にある第三者への提供及び個人関連情報の提供~
令和2年6月5日、「個人情報の保護に関する法律等の一部を改正する法律案」が可決、成立しました。本稿では、その改正のうち、「個人データの外国にある第三者への提供」及び「個人関連情報の提供」について解説します。
1 総論
令和2年6月5日、第201回通常国会において「個人情報の保護に関する法律等の一部を改正する法律案」が可決、成立し、個人情報保護法(以下「法」)の改正(以下「令和2年改正」)がなされました。
この改正においては、個人情報の保護と有用性の確保のバランス等の観点から、主に以下の点において改正がなされています。
① 仮名加工情報の取扱いについての規律
② 個人情報の漏えい等が生じた場合における報告及び本人への通知についての規律
③ 外国にある第三者への個人情報を提供する際の規律
④ 個人関連情報の提供についての規律
本稿では、上記①ないし④及び経過措置のうち、③及び④並びに経過措置についてポイントを絞って解説します。①及び②については、令和4年4月1日施行改正個人情報保護法について(前編)をご覧ください。
2 外国にある第三者への個人データの提供の規制
(1) 外国にある第三者への提供における規制の概要
ア 令和2年改正前
令和2年改正前の個人情報保護法においては、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないとされていました。ただし、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」として、個人情報保護委員会規則で定められる国にある第三者に対し個人データを提供するとき等は、本人の同意は不要でした(令和2年改正前個人情報保護法24条)。
すなわち、「外国にある」第三者に対して個人データを提供することについて本人の同意を取得しなければならない点で、より具体的な範囲での本人の同意が要求されていました。しかし、同意を取得するに当たって「外国」がどこの国であるか、当該「外国」における法制度がどのようなものであるかなどの情報の提供までは要求されていませんでした。そのような状況において、一部の国において当該国に所在する事業者が保有する情報に国家がアクセスすることを許容する制度(いわゆるガバメントアクセス)が創設され、個人情報を含む情報に対する国家管理的規制が見られるなど、個人データの越境移転についてのリスクの変化について指摘がなされていました1 。また、このようなリスクの変化のもと、本人が自らの個人データの移転先についての状況について十分知らされていないことについての不満の声があるとの指摘もなされていました。
イ 令和2年改正法
このような状況を踏まえ、令和2年改正により、個人情報保護事業者は、外国にある第三者に対し個人データを提供するに当たって、本人に対し一定の情報の提供が義務付けられることとなりました2(法28条2項、3項)。具体的には、以下の2つの場合に本人に対してそれぞれ次の情報の提供が求められます。
①本人の同意を得て個人データを外国にある第三者に対し提供する場合:当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報(法28条2項)
②個人情報取扱事業者が講ずべき措置に相当する措置(以下「相当措置」)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に個人情報を提供する場合:当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報(法28条3項)
(2) 実務上の留意点
ア 外国における個人情報の保護に関する制度等の情報の提供((1)イ①の場合)
上記(1)イ①のとおり、本人の同意を得て個人データを外国にある第三者に対し提供する場合、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を提供しなければなりません(法28条2項)。
具体的には、本人に対して、以下の情報を提供しなければならないとされています(個人情報保護法施行規則17条2項)。
① 当該外国の名称3 (同項1号)
② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(同項2号)
③ 当該第三者が講ずる個人情報の保護のための措置に関する情報(同項3号)
ただし、本人の同意を取得しようとする時点において、個人データの提供先となる外国の名称が特定できない場合には、①に代えて以下の情報を提供すれば足りることとされています(同条3項)。
A) 個人データの提供先となる外国の名称が特定できない旨及びその理由(同項1号)
B) 個人データの提供先となる外国の名称に代わる本人に参考となるべき情報がある場合には、当該情報(同項2号)
上記の情報提供義務について、当該義務の趣旨が越境移転を行う事業者において、従前以上に移転先の事業環境を認識することを促すことにあることから、事業者自らの取組みが基本であるとされています4 。上記義務のうち②の「適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報5」については、外国の法制度の調査に要する時間やコストを考慮すると、実務上当該情報を提供することは必ずしも容易ではなく、事業者にとっての負担は必ずしも軽くないようにも思われます。
個人情報保護委員会においては、外国の個人情報の保護に関する制度の有無や制度の概要について、取りまとめて公表を行っています6。 しかし、上記のとおり事業者自らの取組みが基本であるとされていることから、事業者が個人データを越境移転するに当たって、個人情報保護委員会が公表する情報を本人に提供するだけで上記の情報提供義務を果たしたことになるのか、必ずしも明らかではありません。
情報提供義務については、事業者の負担にも配意し、移転先事業者への照会を行うことや移転先国における当局が公表する情報を確認すること等、一定の手続を踏めば情報提供義務を利用したものとする予定とされています。しかし、どの範囲での情報提供が必要になるかは事業内容や移転するデータの性質に照らして判断する必要があると思われます。
イ 第三者による相当措置の継続的な実施を確保するために必要な措置に関する情報の提供((1)イ②の場合)
上記(1)イ②のとおり、相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に個人情報を提供する場合、当本人の求めに応じて当該必要な措置に関する情報を提供しなければなりません(法28条3項)。本項は、法28条2項における情報提供と異なり、「本人の求め」がある場合に限り提供すれば足ります。
本人に対して提供すべき具体的な情報は以下のとおりです(個人情報保護法施行規則18条3項)。
① 当該第三者による法28条第1項に規定する体制7の整備の方法(個人情報保護法施行規則18条3項1号)
② 当該第三者が実施する相当措置の概要(個人情報保護法施行規則18条3項2号)
③ 個人情報保護法施行規則18条1項1号8の規定による確認の頻度及び方法(個人情報保護法施行規則18条3項3号)
④ 当該外国の名称(個人情報保護法施行規則18条3項4号)
⑤ 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要(個人情報保護法施行規則18条3項5号)
⑥ 当該第三者による相当措置の実施に関する支障の有無及びその概要(個人情報保護法施行規則18条3項6号)
⑦ 前号の支障に関して個人情報保護法施行規則18条1項2号の規定により当該個人情報取扱事業者が講ずる措置9の概要(個人情報保護法施行規則18条3項7号)
なお、法28条3項に基づく情報提供義務は、同条2項の情報提供義務とは異なり、情報提供をすることにより事業者の「業務の適正な実施に著しい支障を及ぼすおそれがある場合」は、その全部又は一部を提供しないことができるとされています(個人情報保護法施行規則18条3項但書)。この場合は、情報の全部又は一部を提供できない理由を遅滞なく本人に通知し(同条4項)、その理由を本人に説明するよう努めなければなりません(同条5項)。
この個人情報保護法施行規則18条3項但書のいう、事業者の「業務の適正な実施に著しい支障を及ぼす場合」とは、個人情報取扱事業者の業務の実施に、単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定されます。単に開示すべき情報の量が多いという理由や、特定に手間や時間がかかるという理由のみでは、一般には、「業務の適正な実施に著しい支障を及ぼす場合」には当たりません10。
このほか、同一の本人から複雑な対応を要する同一内容について繰り返し情報提供の求めがあり、事実上問い合わせ窓口が占有されることによって他の問い合わせ対応業務が立ちいかなくなるなど、業務上著しい支障を及ぼすおそれがある場合には「業務の適正な実施に著しい支障を及ぼす場合」に当たると論じるものもあります11。
このように、現段階ではどのような場合であれば「業務の適正な実施に著しい支障を及ぼす場合」に当たるかが必ずしも明確ではないことから、「業務の適正な実施に著しい支障を及ぼす場合」に当たるものとして本人への情報提供の全部又は一部を行わないこととする場合には、慎重な検討を行うことが求められると考えられます。
ウ 外国にある第三者が提供するクラウドサービスを利用した個人データの保管
実務上、クラウドサービスを利用し、個人データを含むデータを外国にあるサーバに保管することがあります。このような場合も個人情報取扱事業者にア、イで述べたような情報提供義務が課せられるのでしょうか。
クラウドサービスの利用が第三者提供に当たるかどうかは、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているかどうかが判断基準となります。そのため、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの第三者提供には当たらないことになります12。すなわち、ア、イで説明した情報提供義務は課せられないことになります。
ただし、この場合には自ら果たすべき安全管理措置の一環として適切な安全管理措置を講じる必要がある点には注意が必要です13。すなわち、外国にある第三者の提供するクラウドサービスを利用する場合、個人情報取扱事業者は外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります14。
具体的には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります15(法32条1項4号、個人情報保護法施行令10条1号)。
3 個人関連情報の第三者提供の規制
(1) 個人関連情報とは
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(法2条7項)。個人関連情報取扱事業者が個人関連情報データベース等を構成する個人関連情報を第三者(提供先)に提供する場合に、提供先が個人関連情報を個人データとして取得することが想定されるときは、個人関連取扱事業者は、提供先が本人から同意を取得していることを確認する必要があります(法31条1項1号)。
この規制の背景を理解するには、第三者への個人データの提供における個人データの判断について理解する必要があります。
個人データを第三者に提供するにあたっては、原則として本人の同意を取得することが必要ですが(法27条1項柱書)、個人データに当たるかどうかは提供元において個人データに当たるかどうかにより判断されます。そのため、提供元において個人データに当たらない場合には、仮に提供先において個人データに当たるとしても、本人の同意なく第三者提供をすることができました。
実際にいわゆる就活サイトを運営していた事業者が、顧客企業に対し、就活生が内定を辞退する可能性を示すスコアを提供するサービスを提供していた事案がありました。当該事案では就活サイト側から顧客企業に対し、顧客企業が就活学生に対して割り当てたID及び当該IDに紐づけられた内定辞退のスコアが提供されていました。
就活サイト側では顧客企業が就活学生に対して割り当てたID及び当該IDに紐づけられた内定辞退のスコアでは個人を特定することができなかったため、就活サイトにおいては顧客企業が就活学生に対して割り当てたID及び当該IDに紐づけられた内定辞退のスコアが個人情報、ひいては個人データに該当しないと整理され、本人の同意なく顧客企業への提供がなされていました。
冒頭で説明した個人関連情報に関する規制は、上記の事例をはじめとする本人の関与のない個人情報の収集方法が広まることを防止するため、令和2年改正において新たに設けられた規制です。
(2) 実務上の留意点
ア 法31条の適用の有無
上記(1)で説明したとおり、個人関連情報を提供するにあたっては、提供先が個人関連情報を個人データとして取得することが想定されるときは、個人関連情報取扱事業者が、提供先において本人の同意を取得していることを確認する必要があります。
個人関連情報を提供するに当たって、このような確認義務が課されるか否かは、「提供先が個人関連情報を個人データとして取得することが想定される」かどうかによります。そこで、個人関連情報の提供を行う個人関連情報取扱事業者は、提供先の第三者との間で、提供を行う個人関連情報の項目や、提供先の第三者における個人関連情報の取扱い等を踏まえた上で、それに基づいて法31条1項の適用の有無を判断するものとされています16。
また、提供元の個人関連情報取扱事業者及び提供先との間の契約等により、提供先において、提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合、通常、「個人データとして取得する」ことが想定されず、法31条の適用はないと考えられます17。この場合には、提供元の個人関連情報取扱事業者は、提供先における個人関連情報の取扱いの確認まで行わなくとも、通常、「個人データとして取得する」ことが想定されないとされています18。そのため、個人関連情報取扱事業者においては、個人関連情報の提供について定める契約のひな形などに、提供先において個人関連情報を個人データとして取り扱わない旨を定めておくことも検討すべきでしょう。
イ 本人の同意の確認方法
個人関連情報の提供についての本人の同意は、法31条1項の文言上、個人関連情報の提供先が取得することが想定されています。個人関連情報を提供する個人関連情報取扱事業者は、当該同意が取得されていることの確認をすれば足ります。
確認の方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法によります(個人情報保護法施行規則26条1項)。
具体的には、次の方法によります19。
① 提供先から口頭で申告を受ける方法
② 提供先が本人の同意を得ていることを誓約する書面を受け入れる方法
③ 提供先が取得した本人の同意を示す書面等を確認する方法
④ 提供元の個人関連情報取扱事業者において同意取得を代行して、当該同意を自ら確認する方法
なお、提供先は、提供元の個人関連情報取扱事業者から確認を受けた場合、当該確認の対象となる事項を偽ってはならず(法31条3項により準用される法30条2項)、これに違反した場合は、10万円以下の過料に処せられることになります(法108条1号)。
このような規定の存在を背景として、提供先からの申告により本人からの同意を確認する場合(上記①及び②の場合)は、提供元の個人関連情報取扱事業者は、その申告内容を一般的な注意力をもって確認すれば足りるものとされています20。
ウ Cookieとの関係について
Cookieは、ウェブサイトを閲覧したときに、訪問者が訪れたサイトや入力したデータ、利用環境などの情報が記録されたファイル(仕組み)を指すなどと説明されます。
Cookieには、ウェブサイトなどにおける行動情報や端末の利用情報などが記録されます。一般にCookieには個人を特定する情報は含まれていないとされていることから、令和2年改正前個人情報保護法においては、Cookieを単体で取り扱っている場合には、Cookieは個人情報には該当しないとされていました。では、令和2年改正によりCookieの取扱いに変化はあったのでしょうか。
上記のとおり、Cookieにはウェブサイトなどにおける行動情報や端末の利用情報などが書き込まれます。このような情報は利用者に関する情報であるといえますので、個人情報に当たらないとしても、「個人に関連する」情報として、個人関連情報に当たることになります21。そのため、提供先において個人データとなる場合には、個人関連情報として、一定の規制がかかることとなります22。
4 経過措置
(1) 経過措置の概要
令和2年改正により改正された個人情報保護法は、令和4年4月1日より全面的に施行されています。
(2) 実務上の留意点
令和2年改正後の個人情報保護法28条2項は、外国にある第三者に個人データを提供する場合、本人に対して当該外国における個人情報の保護に関する制度等の情報を提供した上で、同意を取得しなければならないと定めています。
同項の規定は、令和2年改正による個人情報保護法の施行後に、外国にある第三者に個人データを提供する旨の本人の同意を取得する場合に適用されることとなっています。
そのため、令和2年改正による個人情報保護法の施行日である令和4年4月1日より前に外国にある第三者に個人データを提供する旨の本人の同意を取得していた場合には、令和2年改正後の個人情報保護法28条2項は適用されず、改めて本人に対して当該外国における個人情報の保護に関する制度等の情報を提供する必要はありません。
脚注
1 佐脇紀代志「一問一答令和2年改正個人情報保護法」52頁
2 なお、本人の同意を得ずとも個人データを外国にある第三者に提供できるのは、以下の3つの場合であり、これは令和2年改正の前後で変わっていない(法28条1項)。
① 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定められる国にある第三者に個人情報を提供する場合
② 個人データの取扱いについて、相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に個人情報を提供する場合
③ 個人情報保護法第27条第1項各号に該当する場合
3 ここでいう「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足りる。もっとも、州法が主要な規律となっている等、州法に関する情報提供が本人の予測可能性の向上に資する場合には、本人に対して提供先の外国にある第三者が所在する州を示した上で、週単位での制度についても情報提供を行うことが望ましい(個人情報保護法ガイドライン(外国にある第三者への提供編)(令和3年10月一部改正)61頁)。
4 上記佐脇57頁
5「適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報」は、①当該外国における個人情報の保護に関する制度の有無、②当該外国の個人情報の保護に関する制度についての指標となり得る情報の存在、③OECD プライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在、④その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在の観点を踏まえて提供されるべきとされています(個人情報保護法ガイドライン(外国にある第三者への提供編)(令和3年10月一部改正)42頁~44頁)。
6 外国における個人情報の保護に関する制度等の調査(個人情報保護委員会ウェブサイト)
7 相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している外国にある第三者に個人データを提供する場合、本人の同意は不要である(法28条1項)。
8 相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している外国にある第三者に個人データを提供する場合、当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認しなければならない(個人情報保護法施行規則18条1項1号)。
9 相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している外国にある第三者に個人データを提供する場合、当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止しなければならない(個人情報保護法施行規則18条1項2号)。
10 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(令和4年5月26日更新)(以下「QA」という) Q12-20
11 田中浩之「令和2年改正個人情報保護法Q&A(第2版)」255頁
12 QA Q7-53
13 QA Q7-54
14 QA Q10-25
15 個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要がある。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられる(QA Q10-25)。
16 個人情報保護法ガイドライン(通則編)(令和3年10月一部改正)91頁
17 ただし、提供先が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合には、当該事情に応じ、別途、提供先の第三者における個人関連情報の取扱いも確認した上で「個人データとして取得する」ことが想定されるかどうか判断する必要がある(個人情報保護法ガイドライン(通則編)(令和3年10月一部改正)92頁)。
18 個人情報保護法ガイドライン(通則編)(令和3年10月一部改正)92頁
19 個人情報保護法ガイドライン(通則編)(令和3年10月一部改正)95頁
20 個人情報保護法ガイドライン(通則編)(令和3年10月一部改正)95頁
21 なお、Cookieであっても、個人を特定することができる場合には個人情報に当たることになる(上記佐脇64頁)。
22 個人情報保護法ガイドライン(通則編)(令和3年10月一部改正)
PDFダウンロード
本記事のPDF版をダウンロードすることができます。「ダウンロード」ボタンをクリックまたはタップしてください。