個人情報保護法令和2年改正のポイント～⑥越境移転・法の域外適用について～

1．データの越境移転に係る規制の強化

ア　概要
　現行法上，個人情報取扱事業者が外国にある第三者へ個人データを提供するためには，
・外国にある第三者へ提供することに関する本人の同意を取得している場合
・当該第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報保護法施行規則で定める国にある場合（例：EU，英国）
・当該第三者が個人情報取扱事業者が講ずべき措置に相当する措置（以下「相当措置」）を継続的に講ずるために必要な体制として個人情報保護委員会規則で定める基準に適合する体制を整備している場合
　のいずれかの要件を満たすことが要求されていますが，個人データの外国への移転が広がりを見せる中で，令和２年改正では，これら現行法上の規制に加え，次のような義務が移転元となる個人情報取扱事業者に課せられることとなりました

【本人同意に基づき越境移転する場合】（法28条2項）
・法28条1項に基づく本人同意取得時に，本人に対し，個人データ移転先の外国における個人情報保護関連制度等の情報提供をする義務

【相当措置を講じるための基準に適合した体制を整備した事業者へ越境移転する場合】（法28条3項）
・当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じる義務
・本人の求めに応じて当該必要な措置に関する情報を本人に提供する義務

イ　本人同意に基づき越境移転する場合
　個人情報取扱事業者は，個人データを越境移転するため28条1項の本人同意を取得する際，本人に対して以下の情報を提供する必要があります（28条2項，規則17条2項）。これは，本人が越境移転の同意可否の判断時に，リスクの予測可能性を持てるようにするとの趣旨です。情報を提供する方法は，電磁的記録の提供による方法，書面の交付による方法その他の適切な方法とされています（規則17条1項）。
① 当該外国の名称
② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
③ 当該第三者が講ずる個人情報の保護のための措置に関する情報

　例外的に，個人情報取扱事業者が，本人同意取得時に，提供先の第三者が所在する外国の名称が特定できない場合には，その旨及びその理由，並びに外国の名称に代わる本人に参考となるべき情報がある場合には，当該情報を提供することが求められます（規則17条3項）。
　また，個人情報取扱事業者が，本人同意取得時に，外国の第三者が講ずる個人情報の保護のための措置に関する情報の提供ができない場合には，当該情報に代えて，その旨及びその理由を情報提供しなければなりません（規則17条4項）。
　なお，個人情報保護委員会のウェブサイトにおいて，主要な国又は地域における個人情報の保護に関する制度についての調査結果が公表されていますので，本人に対して提供すべき外国における個人情報の保護に関する制度に関する情報については，この調査結果を活用することが有用です。

ウ　相当措置を講じるための基準に適合した体制を整備した事業者へ越境移転する場合
　個人情報取扱事業者は，相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備していることを根拠に，外国にある第三者へ個人データを提供した場合，以下の義務を負います（28条3項）。これは，個人情報取扱事業者に対し，データ提供後も，提供先の第三者におけるデータの適正な取扱いを確保する義務を課すものです。
①当該第三者による相当措置の継続的な実施を確保するために必要な措置として，次の①-1及び①-2を講じる義務
　①-1　当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を，適切かつ合理的な方法により，定期的に確認すること（規則18条1項1号）
　①-2　当該第三者による相当措置の実施に支障が生じたときは，必要かつ適切な措置を講ずるとともに，当該相当措置の継続的な実施の確保が困難となったときは，個人データの当該第三者への提供を停止すること（規則18条1項2号）
②本人の求めに応じて当該必要な措置に関する情報を本人に提供する義務
　本人から28条3項に基づく求めがあった際に提供すべき情報は，当該第三者による28条1項に規定する体制整備の方法，当該第三者が実施する相当措置の概要等，規則18条3項に定める事項です。
　ただし，個人情報取扱事業者は，情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は，その全部または一部を提供しないことができます（規則18条3項但書）。

詳細につきましては，個人情報保護法ガイドライン（外国第三者提供編）令和3年8月一部改正をご参照ください。

2．域外適用の強化

　個人情報保護委員会が，域外適用の対象となる外国の事業者に行使できる権限について，現行法では強制力を伴わないものにとどまっています。しかし，外国における漏洩事案等に対し適切に対処する必要性が高まっていることから，令和2年改正によって，外国事業者に対しても国内事業者と同様に全ての条文が適用されることとなり，外国事業者が個人情報等を本人から直接取得した場合だけでなく，本人以外の第三者から間接的に取得した場合も，域外適用の対象に含まれることとなりました（166条）。
　その他，詳細につきましては，個人情報保護法ガイドライン（外国第三者提供編）令和3年8月一部改正をご参照ください。

３．さいごに

　令和２年改正法では，個人データを外国の第三者へ提供する越境移転に関して，個人の権利利益を保護する観点から新たな義務が設けられています。今後も個人情報の越境移転の機会は増えると予想されますので，規律の趣旨や内容を理解した上で適切に対応することが求められます。

鳥飼総合法律事務所　弁護士　加藤佑子