令和2年個人情報保護法の改正(令和4年施行予定):外国にある第三者への提供に関する規制の変更について

2021.04.10

はじめに

令和2年(2020年)6月に個人情報保護法の改正法が成立し、その施行日が令和4年(2022年)の4月1日と決まりました。(なお、罰則の引き上げについてはすでに2020年12月に施行済です。)

この改正には、「個人関連情報」に対する規制(提供元では個人情報に該当しないが、提供先において他の情報と容易に照合することができ、それにより特定の個人を識別することかができることとなるデータについての規制)や「仮名加工情報」という区分ができるなど、実務に影響を与える改正がたくさん盛り込まれていますが、

本記事では特に、外国にある第三者への個人データの提供に関する規制についての改正点について書きたいと思います。

最近、LINEの件において注目された部分でもありますので、LINEの件についての法的観点からの検討についても触れたいと思います。

外国にある第三者へのデータ提供に関する規制(現行法)

個人情報保護法第24条(本人同意の原則)

現行法では、外国にある第三者への個人データの提供に関しては、以下の定めとなっています。

個人情報保護法24条

個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

カッコがたくさんあり分かりにくいので、カッコ以外の部分だけを青字で表示しました。

「前条第一項各号」とは、第23条1項に定める、法令に基づく場合や、人の生命、身体又は財産の保護のために必要がある場合などです。

注意が必要な点として、国内の第三者に提供する場合には、第23条2項から6項に定める以下の仕組みを利用することが多いですが、第24条に該当する時にはこれらの仕組みは使えません。

  • オプトアウトの仕組みを利用する場合(要配慮個人情報を除く)(23条2項から4項)
  • 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って個人データを提供する場合(23条5項1号)
  • 共同利用の仕組みを利用する場合(23条5項3号、6項)

第24条に該当する場合には、上記の仕組みを利用することができず、基本的に本人の同意を得ることが必要です。

もっとも、先ほどカッコを除いて書いてみましたが、実務的にはカッコの中が大事です。カッコの中は、(・・・の場合は除く)ということになっており、カッコに該当する場合には、第24条の規制から外れます。

カッコに該当するのは以下の場合です。

日本と同等の個人情報保護制度を有する国に提供する場合

「外国」に関するカッコの中で、(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く)とされています。

従って、日本と同等の保護制度を有する国として個人情報保護委員会の規則で指定された国については、第24条は適用されず、第23条に従って提供することが可能となります。

現時点で指定されているのは、EU(EEA加盟国)とイギリスです。

EUに関しては、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)で指定されています。

イギリスに関しては、個人情報保護委員会が、「英国のEU離脱に係る対応について」という文書の中で、EU離脱後も指定を継続するとしています。

基準に適合する体制を整備している者に提供する場合

「第三者」に関するカッコの中で、(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く)とされています。

個人情報保護委員会で定める基準として、具体的には、個人情報の保護に関する施行規則第11条の2により以下の基準が示されています。

施行規則第11条の2

法第24条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。

一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。

二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること

適切かつ合理的な方法」とは、個々の事例ごとに判断されるべきとしつつ、ガイドラインにおいて以下のような方法が例示されています。

事例1 外国にある事業者に個人データの取扱いを委託する場合

     提供元及び提供先間の契約、確認書、覚書等

事例2 同一の企業グループ内で個人データを移転する場合

     提供元及び提供先に共通して適用される内規、プライバシーポリシー等

(個人情報の保護に関する法律についてのガイドライン)(外国にある第三者への提供編)4-1

法第4章第1節の規定の趣旨に沿った措置」とは、日本の個人情報保護法の各規定(利用目的の特定、利用目的による制限、安全管理措置、第三者への提供の禁止など)の趣旨に沿った措置ですが、上記ガイドラインの4-2において具体的に説明されています。

これらのことから、EUやイギリス以外の委託先であっても、契約等により、日本の個人情報保護法の各規定の趣旨に沿った措置が実施されることが確保されている場合には、第24条の制限は適用されず、第23条に従って提供することが可能となります。

LINEの件について

概要

LINEが、モニタリングツールの開発業務を中国の関連会社に委託し、その関連会社の社員がLINE利用者に関する情報にアクセス可能であった(実際にアクセスしたこともあった)ことが判明しました。

LINEによると、業務に必要な範囲でのアクセスであり、不正利用や漏洩は確認されていないとのことです。

(その他、画像などのデータを韓国に置かれたサーバで保管していた点も指摘されていますが、おそらくサーバ運営者はサーバに保存されたデータにアクセスしないことになっていたと思われますので、本記事では中国の関連会社からのアクセスの点に絞りたいと思います。)

LINEの見解は、外国への提供についてプライバシーポリシーで利用者の同意を得ていたが、利用者への説明が分かりにくく配慮に欠けていた点は反省しているということで、対応策として、プライバシーポリシーを改定すると共に、中国の関連会社からのアクセスを遮断しました。

政治家などからLINEへの批判が相次ぎましたが、現行の個人情報保護法に照らして具体的にどこが問題なのか、明確に指摘している人はあまりいなかったように思いますので、検討してみたいと思います。

法的観点からの検討

基準に適合する体制を整備している者への提供か

上記のとおり、委託先との契約等により、日本の個人情報保護法の各規定の趣旨に沿った措置が実施されることが確保されている場合には、第24条の制限は適用されず、第23条に従って提供することが可能となります。

第23条5項1号では、「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」が挙げられており、この場合には本人の同意なく提供が可能となります。(委託先の監督は必要です。)

LINEによる関連会社への提供をこのように考えることはできないのでしょうか?

この点について、3月23日に行われたLINEの記者会見でも質問が出ましたが、LINEの回答は、海外拠点にも情報管理についてガバナンスを効かせていたが、詳細は個人情報保護委員会に報告しているところであり、その判断を待っているところだとのことでした。

委託先が基準に適合する体制を整備しているかどうかは、第一義的には個人データを外国に提供する事業者が判断することですので、私見としては、LINEが会社としてどう判断していたのかをもう少し明確に述べられてもよかったのではないかと思います。

ただ、いくら当事者間で十分な内容の契約等を締結したとしても、中国の国家情報法のような法律があれば、中国企業としてはそちらに従わなければならないでしょうから、契約の実効性があると言えるかどうかは難しいところかもしれません。

利用者の同意を得ていたか

3月31日に改定される前の、LINEのプライバシーポリシーは以下のようになっていました。

「なお、当社は、パーソナルデータの提供にあたり、お客様のお住まいの国または地域と同等の個人データ保護法制を持たない第三国にパーソナルデータを移転する場合があります(2019年1月23日現在、欧州委員会は、日本がパーソナルデータについて十分な保護水準を確保していると決定しています。)。この場合、当社はお客様の国または地域で承認されたデータ保護に係る標準契約やその他手段を採用し、パーソナルデータの第三国移転を適用法の要件に従って行います。」
https://linecorp.com/ja/pr/news/ja/2021/3684

自分がLINEの利用を開始した時のことをはっきりと覚えていませんが、利用者はプライバシーポリシーに同意した上で、利用を開始していると思います。

プライバシーポリシーでは、国を特定して、「中国」とは書かれていませんが、このような記載に問題があったのでしょうか?

現行法の下のガイドラインでは、以下のように定められています。

「本人の同意とは」、本人の個人データが、個人情報取扱事業者によって第三者に提供されることを承諾する旨の当該本人の意思表示をいう。・・・中略・・・
個々の事例ごとに判断されるべきではあるが、法第24条において求められる本人の同意を取得する場合、本人の権利利益保護の観点から、外国にある第三者に個人データを提供することを明確にしなければならない。
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)2-1

このように現行法では、外国にある第三者に個人データを提供することを明確にした上で同意を得る必要はありますが、必ずしも当該外国の国名や当該外国における個人情報保護に関する制度についての情報提供までは求められていません。(佐脇紀代志編著「一問一答 令和2年改正個人情報保護法」商事法務52頁)

なお、個人情報保護委員会のQ&A(「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A 9−2)では、国名の記載やそれに準ずるような記載が求められていますが、このQ&Aのみから直ちに、国名を記載しない同意が有効ではないということにはならないように思います。

小括

上記のことから考えて、改定前のLINEのプライバシーポリシーは理想的とは言えなかったかもしれませんが、違法ということではなかったと思います。

しかし、LINEは、記者会見で、法律が云々ということではなく、利用者の信頼や期待に応えなければならなかったということや、改正法の先取りをするべきだったという反省を述べられ、中国の関連会社からの個人情報へのアクセスはすでに遮断済みであると説明されました。

また、3月31日に改定されたプライバシーポリシーでは、委託業務ごとに主な移転先の国名が記載されています。https://linecorp.com/ja/pr/news/ja/2021/3684

2021年4月25日追記

4月23日、個人情報保護委員会は、LINEに対する行政指導を行ったと発表しました。

指導の内容はこちらから確認できますが、個人情報保護法22条に基づく委託先の監督に関して、改善を要する点があったとのことです。

個人情報保護法22条

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

この監督義務は、委託先が国内であるか海外であるかを問わず適用されます。

外国にある第三者への提供に関しては、上記のとおり個人情報保護法24条による制限がありますが、それについては遵守されていたと判断されています。

改正法施行(令和4年)後の外国への提供に関する規制

LINEが記者会見で、改正法を先取りすべきだったと述べられたように、令和4年に個人情報保護法の改正法が施行された後は、外国にある第三者への個人データの提供に関する規制が厳しくなります。

改正後の個人情報保護法24条には、2項と3項が加わりました。

個人情報保護法第24条(改正後)

2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人 情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 

3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなればならない。

本人の同意を得る場合の情報提供(新24条2項)

第2項は、本人の同意を得て外国にある第三者に情報を提供する場合の規制です。本人に対して以下の情報を提供した上で、同意を取る必要があります。

  • 当該外国の名称
  • 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報

(個人情報の保護に関する施行規則第11条の3 2項 1号〜3号)

なお、本人の同意を得ようとする時点において移転先の国が特定できない場合は、特定できない旨とその理由、国名に代わる本人に参考となるべき情報がある場合にはその情報を提供すればよいとされています。(施行規則第11条の3 3項)

基準に適合する体制を整備している者に対して提供した場合の義務(新24条3項)

第3項は、基準に適合する体制を整備している者に対して、本人の同意を得ることなく提供する場合についての規制で、提供した事業者は大きく分けて2つの義務を負います。

1つ目は、個人データを提供した時点では基準に適合していたとしても、その後の当該外国の法令変更などにより契約などで求められた措置が継続的に実施されない恐れが生じますので、当該第三者による相当措置の継続的な実施を確保するための措置を取る必要があります。

具体的には、規則において以下のことが定められています。

  • 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
  • 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること。

(個人情報の保護に関する施行規則第11条の4 1項 1号〜2号)

2つ目は、本人への情報提供に関する義務です。事業者は、本人からの求めがあった場合には、外国の名称や、当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要など、規則が定める事項について情報提供する必要があります(個人情報の保護に関する施行規則第11条の4 3項)。

「当該措置の実施に影響を及ぼすおそれのある当該外国の制度」というのは、中国の国家情報法のような制度を想定しているものと思います。

改正法の施行に向けての対応

令和4年4月1日の改正法の施行に向けて、提供先の国の個人情報保護に関する制度の内容や、中国の国家情報法に類似した法律がないかどうかなどを、適切かつ合理的な方法により確認する必要があります。

基本的には事業者が自ら取り組むべきことですが、個人情報保護委員会も、事業者の参考となるべき一定の情報を、改正法の施行までに取りまとめて公表することを予定しているとのことです。(佐脇紀代志編著「一問一答 令和2年改正個人情報保護法」商事法務57頁)

事業者としては、関係する国の制度の調査に着手すると共に、個人情報保護委員会による情報発信にも注目していく必要があると思います。

私自身もできるだけ情報収集・発信に努めたいと思います。