こんにちは!BICP DATA 弁護士の中村です。
改正個人情報保護法に関係するブログについては、ガイドライン案が出たころから書かせていただいておりますが、おかげさまで読んでいただいた方から、多くの反応をいただけるようになってきました。
そうこうしているうちに、Q&Aも出てきて、いよいよ出そろった感がありますね。すなわち、個人情報保護法の施行も近い!
ということで、ブログも頑張って書いていきます!!間が開いてスミマセン…。
今回は、【外国にある第三者への提供】について見ていきたいと思います。
なお、これまでの改正の経緯は以下の通りです。
2020年改正では、越境移転に関する「本人への情報提供の充実」ということで、情報として国名を提供しなければならないなどの規定となっています。
ただ、実際にご相談を受けるポイントは、平成27年改正において制定された「外国にある第三者に対する個人データの提供に関する規定」に関連するものが多いです。
ですので、今回は、ちょっと拡張して、「サーバ問題」に関連する規定についても見ていこうと思います!
それでは、実際の規定を見ていきます。
1.法律の内容はどうなっているの?―原則
個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要があります。
そして、2020年改正により、この同意取得時に、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない、とされています。
情報提供方法および提供すべき情報の内容は、以下の通りです。
この点、「本人への情報提供の方法として、必要な情報が掲載されたウェブサイトの URL を本人に提供すること」も、適切な方法に該当する、とされています。
ただし、この場合であっても、例えば、当該URLを本人にとって分かりやすい場所に掲載した上で、同意の可否の判断の前提として、本人に対して当該情報の確認を明示的に求めるなど、本人が当該URLに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要があります。
※委託の場合も同じ
データの取扱を第三者に「委託」するに過ぎない場合、国内においては「第三者提供」に該当しない、とされています。
しかし、外国にある第三者へ個人データの取扱を委託する場合には、「外国にある第三者への個人データの提供」に該当し、上記と同様の規制が当てはまることには注意が必要です。
2.同意取得の時点で移転先が特定できない場合―例外①
外国にある第三者へ個人データの提出を認める旨の本人の同意を取得する時点において、提供先の第三者が所在する外国を特定できない場合があります。
例えば、
日本にある製薬会社が医薬品等の研究開発を行う場合において、被験者の同意取得を行う時点でどの国で薬事承認申請するかが未確定で、個人データを移転する外国が特定できない場合
といった場合が考えられます。
その場合、
①特定できない旨及びその理由
②提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報
について情報提供しなければなりません。
②は例えば、本人の同意を得ようとする時点において、移転先となる外国の候補が具体的に定まっている場合における当該候補となる外国の名称、が挙げられます。
3.同意取得の時点で第三者が講ずる個人情報保護措置に関する情報が提供できない場合―例外②
また、本人の同意を取得する際、提供先の第三者が講ずる個人情報保護のための措置に関する情報が提供できない場合が考えられます。
これは先ほどの製薬会社の例もこれに該当しますね。
この場合には、当該情報に代えて、
・当該情報を提供できない旨
・その理由
について情報提供しなければなりません。
この場合、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましいとされています。
4.「外国にある第三者」とは誰を指すのか
では、「外国にある第三者」とは誰のことを指すのでしょうか。
法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで「第三者」に該当するかを判断することになります。
例えば、
日本企業が、外国の法人格を取得している当該企業の現地子会社に個人データを提供する場合には、当該日本企業にとって「外国にある第三者」への個人データの提供に該当しますが、現地の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しません。
また、外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当しますが、例えば、日系企業の東京本店が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は、日本国内で「個人情報データベース等」を事業の用に供している「個人情報取扱事業者」に該当し、「外国にある第三者」には該当しない。ということになります。
5.サーバが外国にある場合
(1)自社サーバを外国においている場合
これに関して非常に良く質問されるのが、外国に自社サーバを置いているケースについてです。
外国にある自社サーバに個人データを含む電子データを保存することはこの規制に該当するのでしょうか?
このようなケースでは、サーバの運営者が誰なのか、によって分かれてきます。
(a)自ら外国に設置し、自ら管理・運営するサーバに個人データを保存する場合
この場合には、第三者への提供には該当せず、事前の同意は必要ないことになります。
(b)外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合
当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わない場合、つまり、
契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合など
については、「外国にある第三者への提供」に該当しません。
逆に、
サーバ運営事業者が、保存された個人データを取り扱う場合=アクセスできる場合
には、「外国にある第三者への提供」に該当することになります。
なお、この場合は、
・当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要
・保有個人データの安全管理について講じた措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く必要
があることに留意が必要です。
(2)クラウドサービスを利用している場合
では、クラウドサービスを利用している場合はどうでしょうか。
当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供に該当します。
但し、当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供に該当しません。
また、当該サーバの運営事業者が、当該サーバに保存された個人データを国内で取り扱っていると認められる場合には、「事業の用に供している」といえ、当該サーバの運営事業者は個人情報取扱事業者に該当しますので、外国にある第三者への提供に該当しません。
この例外の場面を図にすると以下のようになります。
ちょっと複雑そうに見えますが、当該事業者が個人データにアクセスして取り扱うことができるか、できる場合に、その個人情報が国内のサーバにあるのか、外国のサーバにあるのか、で、「外国にある第三者への提供」に該当するのか、が決まってくる、と理解しておけば良いでしょう。
6.最後に
越境移転の問題、かなり規定が複雑で頭がこんがらがりますね…
色々な法律について言えることではありますが、最終的な判断はケースバイケースですので、「外国」が絡んでくる場合には、ケースを整理して、どの規制が当てはまってくるのか、慎重に検討してみてくださいね。
弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱についてのご相談をお受けしております。
まずはお気軽にご相談ください。ご連絡お待ちしております。