<ポイント>
◆外国事業者への個人データ提供には、国内事業者は本人へ当該外国の個人情報保護制度等のより充実した情報提供が必要
◆基準適合体制の整備が継続的に実施されている等の確認と情報提供が必要に
改正前は、外国にある第三者に個人データを提供する場合には、原則として、予め外国にある第三者への提供を認める旨の本人の同意を得なければなりませんでしたが、その際に、当該外国の国名や個人情報保護に関する制度の情報提供までは求められていませんでした。
しかし、データ保護関連法制が途上国を含め世界に広がる中で、データローカライゼーション(大まかにいえば、国内でデータの保存を義務づける規制)などの国家管理的規制もみられ、個人の権利利益の保護の観点からの懸念も生じます。たとえば、当該国政府の方針により、個人データの消去請求に対応できない、政府によるデータの不適切な利用等です。
そこで、今回の改正において、移転元となる個人情報取扱事業者に対して、移転先(外国)の事業者や当該国の状況について、本人に対しより充実した情報を提供させることにしています。
当該外国における個人情報の保護に関する制度、情報提供を受けた第三者が講ずる個人情報の保護のための措置、当該外国名などその他本人に参考となるべき情報を提供しなければなりません。
基本的な考え方として、自己の個人データの越境移転に伴うリスクについて本人が適切に認識できるよう、個人情報保護法により個人情報取扱事業者に求められることとの本質的な差異について情報を提供することですが、一方で事業者に過度の負担とならないよう配慮する必要があるとされています。
具体的には今後個人情報保護委員会で検討されてガイドラインで示される予定ですが、当該外国における個人情報の保護に関する制度の情報提供としては、EU一般データ保護規則(GDPR)第45条に基づく十分性認定の取得国である等の情報が考えられているようです。
情報提供を受けた第三者が講ずる個人情報の保護のための措置に関する情報提供としては、「提供先は、利用目的の通知・公表は行っていないものの、それ以外の点については、個人データの取扱について我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じています」といった情報提供が例示されています。
現行法上、外国にある第三者が、法に基づき個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同等の措置を継続的に講ずるために必要なものとして委員会規則に定める基準に適合する体制(基準適合体制)を整備している場合、越境移転に関する本人の同意は必要ありません。
改正法でも基準適合体制を整備している場合には本人の同意は不要ですが、移転元の事業者は、移転先の第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければならず、また、本人の求めに応じて必要な措置に関する情報を提供しなければなりません。これらの措置や提供すべき情報も、今後個人情報保護委員会で検討される予定です。
移転先の第三者による相当措置の継続的な実施を確保するために移転元が取るべき必要な措置としては、相当措置の実施状況や実施に影響を及ぼすおそれのある制度の有無を定期的に確認し、相当措置の継続的な実施の確保が困難となった場合、それ以降の個人データの提供を停止することが考えられています。
また、本人の求めに応じて提供する情報としては、定期的に実施する確認の対象、頻度及び方法、移転先の第三者による相当措置の実施に関する支障及び当該支障への対応等が考えられています。
その具体例としては「委託契約において、特定した利用目的の範囲内で個人データを取り扱う旨、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託の禁止、個人データの第三者提供の禁止等を定めている」とか、「特段の制限なく、政府による民間事業者が保有する個人情報へのアクセスが認められている」が示されています。