個人情報保護法改正ガイドラインのパブコメは膨大ですが、個人データの外国関連については、パブコメ結果全てがガイドラインやQ&Aに載っているわけではないので、このブログで必要なパブコメをまとめていきたいと思います。
※法24はR6.2月時点の法28のこと、法27はR6.2月時点の法32のことです。
※今後も適宜、更新していきます。
※現状、参照済の箇所
:海外編パブコメNo,1-183までを見て、気になるものをブログに貼り付けて紹介した
:通則編パブコメのNo,453-479までを見て、気になるものをブログに貼り付けて紹介した
事業者名については貼りつけませんでしたが、Noを書いているため、原文を見れば、事業者名も公開されています。
なお、私の感想を先に書いてしまうと、やはり外国法制度調査は事業者側に過大な負荷となりうるもので、当局回答だと論理構成としてもちょっと弱いかなと思ってしまいました。外国法制度については当局調査をやってくれるとのことですので、その内容に期待したいところです。
「個人情報の保護に関する法律についてのガイドライン( 外国にある第三者への提供編 )の一部を改正する告示案 」 に関する意見募集結果
総論
No.3 Q ガバメントアクセス
ガバメントアクセスが発生したことをもって、個人情報保護法違反となるのか。
A
適切な情報提供を行った上で改正後の法第 24 条第1項に基づく 本人の 同意を取得して外国にある第三者に個人データを提供した後については、当該提供先による個人データの取扱いを確認する義務はありません。そのため、当該提供先が、当該 外国の政府による個人データの提供の要請に対応したこと のみをもって提供元の事業者の法違反となる
ものではありません。
同意ではなく相当措置で海外提供した場合、当該提供先において、当該 外国の政府による要請に対応した個人データの 提供が認められるか否かは、個人データの性質や提供の必要性(外国 政府からの要請が外国の法令の要件を満たす適法なものかの確認を含 む 。 )等を踏まえた個別の事案ごとの判断が必要で あり、例えば、提供の必要性が認められないにもかかわらず、当該提供先が漫然と個人データの提供を行っている場合に
は、当該提供先による相当措置の実施に支障が生じていると評価される可能性が
あります。なお、提供元の事業者が、 当該 提供先に対して法第 23 条第5項第1号
に基づいて個人データの提供を行っている場合、 当該提供先に対する監督義務を
負いますので(法第 22 条) 、上記のように、当該提供先が提供の必要性が認めら
れないにもかかわらず、漫然と個人データの提供を行っている等の場合には、提
供元の事業者の監督義務違反となる可能性が あります。
No.4 Q 同意取得等の義務は委託元?委託先?
委託元事業者A が受託業者(国内事業) B に個人情報の取扱業務を委託し、その受託業者 B (国内事業)が法第 24 条第 1 項における外国にある受託業者 C に再委託を行った場合、法 24 条第 1 項、第 2 項の義務が課されるのは受託業者 B であり、委託元事業者 A には同条に基づく義務は課されないという理解でよいか。
A
個別の事案ごとに判断されますが、 例えば、 委託元 が国内の事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した 場合には、改正後の法第 24 条第1項及び第2項の義務 は、原則として 当該 委託先に課されると考えられ ます。 ただし、この場合でも、委託元は 当該 委託先に対する監督義務を負うため(法第 22 条)、 当該 委託先が再委託先に対して 適法に個人データの提供を行っているか等を含め、当該委託先による個人データの取扱いについて、 適切に把握し監督する必要があります。
No.32 Q 情報提供義務は委託元?委託先?
日本の事業者が他の日本の事業者に業務委託し、当該委託先業者が海外の事
業者に再委託した場合に、最初の事業者には法第 24 条 3 項は適用されないと
いう理解でよいか。
A
個別の事案ごとに判断されますが、 委託元 が国内 にある 事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、 当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した場合 に おいて 、 委託先である国内にある事業者と再委託先である外国にある事業者との間の契約等により、施行規則第 11 条の2第1号の基準を満たすための「法第4章第1節の規定の趣旨に沿った措置」の実施が確保されている場合には、 改正後の法第 24 条第 3 項の義務 は、 原則として委託先に課されると考え られ ます。 ただし、この場合でも、委託元は委託先に対する監督義務を負うため(法第 22 条)、委託先が再委託先に対して必要かつ適切な監督を行っているか等について、適切に把握し監督する必要があります。
No.5 Q 情報提供義務の前提となる対象情報の特定
情報提供義務の前提となる対象情報を本人に特定してもらうことは可能か。
A
本人がこれに応じる場合には、対象となる個人データを特定するに足りる事項の提示を求めることは可能であると考えられますが、本人に特定する義務があるわけではないことに留意が必要です。
なお、事業者が本人に対して対象となる個人データを特定するに足りる事項の提示を求める場合には、改正後の法第 24条第3項の本人の求めに応じた情報提供の趣旨を踏まえ、特定に資する情報の提供その他本人の利便を考慮した適切な措置を講ずることが望ましいと考えられます。
No.6 Q 黙示の同意は原則不可?
黙示の同意でもよいか?
A
個別の事案によるが、基本は明示の同意
No.8 Q 個人情報保護法適用外国法人が、同一法人内の別の外国拠点で取り扱う場合も外国提供に非該当
「外国の法令に準拠して設立され外国に住所を有する外国法人」に個人デー
タを提供する場合であって、当該外国法人が別の外国に自己の拠点(現地の
事業所、支店、自己の従業者のリモートワーク拠点等、同一法人格内の拠
点)を有しており、当該別の外国拠点においても当該個人データを取り扱う
場合、当該別の外国拠点での個人データの取り扱いについては、当該外国法
人が本社住所を有する外国において取り扱っているものと解されるとの理解
で良いか、考え方を明確に示して頂きたい。
また、当該外国法人がその事業のために別の外国にある自己以外の拠点(当
該外国法人グループの現地法人の拠点等)においても当該個人データを取り
扱わせている場合、当該別の外国拠点での個人データの取り扱いについて
は、その目的が当該外国法人の事業のためであっても、当該別の外国拠点に
対して別途「外国にある第三者への提供」が行われるものと解されるとの理
解で良いか、考え方を明確に示して頂きたい。
A
改正後 の法第 24 条第1項における「 第三者 」 の 該当性は、 当該第三者 が法人で
ある場合は、法人格 を 基準として 判断 します。
そのため、例えば 、 日本に ある個人情報 取扱事業者 から提供を受けた個人デー
タの取扱いについて、外国にある 事業者が改正後の法第 75 条に 基づく 域外適用の
対象 となる 場合において、当該外国にある 事業者 が別の外国に有する支店等 の 同一 法人格 内の 拠点 に 当該 個人データを取り扱わせる場合には、 改正後 の法第 24 条第1項における「 外国 にある第三者」 への 提供に該当しません。
他方 で、上記の場合において外国にある 事業者 が 、 日本以外の国に所在する自己の 子会社 等の別 の 法人格を有する 拠点に 対して 当該個人データを提供する場合には、 改正後 の法第 24 条第1項における「 外国 にある第三者」 への 提供に該当します。
契約上規定すべき外国にある第三者の義務
No.25 Q 不適正利用の禁止の「違法」は日本法違反
不適正利用の禁止(個人情報保護法16条相当)の「違法又は不当な行為」とは法(個人情報の保護に関する法律)その他の法令に違反する行為とあるが、この「法令」には当該外国にある第三者の所在国の法令を含むか。
また、当該所在国の法令が、我国(日本)の個人情報保護法に抵触する場合にも「法令」に含むものといえるのか。
A
日本の法令 をいい、提供先 の第三者 が 所在する外国の法令は 含まない ものと考えられます。
No.30 A 外国提供先における個人情報保護法24条相当の措置は?
一般論として、日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いの委託をする場面において、法第 24 条の趣旨に沿った措置の実施が確保されているというためには、 ① 当該外国にある事業者による個人データの第三者提供を禁止するか、 又は ② 当該外国にある 事業者 から更に外国にある第三者に個人データの取扱いが再委託される場合には、再委託先である外国にある第三者においても、法第4章第1節の規定の趣旨に沿った措置の実施を確保する必要があります。
同意取得時の情報提供
No.36 Q 本人が外国提供を要請した場合の情報提供義務
外国において、本人からの要請を受け、同一の外国にある第三者への個人デ
ータを提供する場合は、原則として、当該個人情報取扱事業者は、「同意取得
時の情報提供」を行う必要はないとの理解でよいか(例:シンガポール支店
(個人情報取扱事業者である日本法人に帰属)が、本人からの要請を受け
て、同支店で保管する個人情報を、シンガポール現地の他の法人に提供する
場合)。
また、本人の要請を受けた場所が外国というだけでなく、要請を行った本人
が当該外国に居住する者である場合はどうか(例:シンガポール支店(個人
情報取扱事業者である日本法 人に帰属)が、シンガポールに居住する本人か
らの要請を受けて、同支店で保管する個人情報を、シンガポール現地の他の
法人に提供する場合)。
A
個別の事案ごとに判断されますが、 本人の要請によって外国にある第三者に当該本人の個人データを提供する場合であっても、「外国にある第三者への個人データの提供を認める旨」の本人の同意を得ようとする時点において、当該本人が 、 提供先の第三者が所在する 外国の個人情報 の 保護 に関する制度に関する情報 、及び 当該第三者が講ずる個人情報の保護のための措置に関する情報を適切に認識していることを確認できた場合等の例外的な事由がある場合を除き、個人情報取扱事業者は、改正後の法第 24 条第2項により求められる情報を当該本人に対して提供する必要があります。この点は、本人の所在地や居住地が外国である場合にも同様です。
No.37 Q 情報提供義務は委託元?委託先?
委託先(国内企業)の再委託先が外国事業者であった場合、委託元が本人に
対して情報提供をする義務があるかどうかについて解説いただけることを望
みます。
A
個別の事案ごとに判断されますが、 例えば、委託元 が国内の事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した場合には、改正後の法第 24 条第1項及び第2項の義務 は、原則として 当該 委託先に課されると考えられ ます。 ただし、この場合でも、委託元は当該委託先に対する監督義務を負うため(法第 22 条)、当該委託先が再委託先に対して適法に個人データの提供を行っているか等を含め、当該委託先による個人データの取扱いについて、適切に把握し監督する必要があります。
情報提供の方法
No.42 Q 行政機関HPリンク掲載で良いか
情報提供の方法として事例 4 にある「必要な情報をホームページに掲載
し、本人に閲覧させる方法」を取る場合に、「我が国又は外国の行政機関
等が公表している情報」が掲載された行政機関等のホームページの URL
を、 事業者のホームページに掲載する方法が認められると解してよいか。
A
同意取得時の情報提供により、個人データの越境移転に係るリスクについての本人の予測可能性を向上させ、本人が同意の可否を適切に判断できるようにするという改正後の法第 24 条第2項の趣旨 を踏まえると、本人に対する情報提供は、改正後の施行規則第 11 条の 3 第 2 項から第4項までの規定により求められる情報を本人が確実に 認識できる と考えられる適切な方法で行う必要があります。
個別の事案ごとに判断 されます が、 改正後の施行規則第 11 条の3第2項から第4項までの規定により求められる情報が掲載されたWebページ が 存在する場合に、当該Webページ のURLを 自社のホームページに掲載し、当該URL に 掲載された情報を本人に閲覧させる方法も、改正後の施行規則第 11 条の3第1 項における「 適切な 方法」 に該当する と考えられます。
なお、この場合であっても、 例えば 、当該 URLを 本人 にとって分かり やすい場所に掲載し た 上で、同意の 可否 の判断の前提として 、本人 に対して 当該情報の確認を明示的に求めるなど、 本人が当該URLに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要 が ある と 考えられます。
No.61 A URLでも可
改正後の施行規則第 11 条の3第2項か ら第4項までの規定により求められる情報が掲載されたWebページが存在する場合に、 当該 Web ページ の URLを 本人 に対して提供 し、当該URLに 掲載された情報を本人に閲覧させる方法も、改正後の施行規則第 11 条の3第1項 における「 適切な 方法」 に該当する と考えられます。
No.43 Q 本人が実際に閲覧したことの確認は不要?
「事例4 )必要な情報をホームページに掲載し、本人に閲覧させる方法」と
されているが、これは、ホームページ上の本人が閲覧することが容易な場所
に必要な情報を掲載すれば当該方法に該当し、実際に本人が閲覧したことの確認までは不要との理解でよいか。仮に、これでは足りないとされる場合に
おいて、「本人に閲覧させる」とは、例えば、必要となる情報が掲載された画
面に1回程度の操作で遷移するよう設定したリンクやボタンを示すことでも
足りるか。
A
そのため、個別の事案ごとに判断されます が、 ホームページ に必要な情報を掲載する場合においても 、例えば 、 必要な情報を 本人 にとって分かり やすい 場所に掲載した 上で、 同意の可否の判断の前提として 、本人に対して 当該情報の確認を明示的に求めるなど、 本人が当該情報を閲覧すると合理的に考えられる形で、情報提供を行う 必要 がある と 考えられます。
No.63 Q 本人が実際に閲覧したことの確認は不要?
「事例4)必要な情報をホームページに掲載し、本人に閲覧させる方法」
の「本人に閲覧させる方法」について、本人に提供される情報(外国の名
称、外国における個人情報の保護に関する制度、第三者が講ずる個人情報の
保護のための措置に関する情報)をプライバシーポリシーに記載し、その
URL (またはプライバシーポリシーへのリンクが掲載されたホームページへの
URL )を本人に伝達する方法 (電子メール本文への URL 記載、本人に交付する
書面への URL 記載等)が含まれることを明確にされ たい。
A
個別の事案ごとに判断 されます が、 改正後の施行規則第 11 条の3第2項から第4項までの規定により求められる情報が掲載されたWebページが存在する場合に、当該Webページ のURLを自社 のホームページ に掲載し、当該URL に 掲載された情報を本人に閲覧させる方法も、改正後の施行規則第 11 条の3第1 項における「 適切な 方法」 に該当する と考えられます。
なお、この場合であっても、 例えば 、当該 URLを 本人 にとって分かり やすい場所に掲載し た 上で、同意の 可否 の判断の前提として 、本人 に対して 当該情報 の確認を明示的に 求めるなど、 本人 が 当該URL に掲載された情報を 閲覧 すると 合理的に 考えられる形で、情報提供を行 う必要 が ある と 考えられます。
提供すべき情報(国名)
No.46 Q 本人が提供先国名を認識している場合
海外ホテルの予約に伴う予約先ホテルへの提供など、実質的に本人が提供先
国名を認識している場合、明示的に外国の名称を同意取得時に明記していな
いとしても、法 24 条の同意を取得しているものと評価してよいか、ご教示い
ただきたい。
A
個別の事案ごとに判断されますが、 例えば、本人が移転先 の 外国を決めている場合のように、本人 が 移転先国の名称を認識していることが確実である場合には、事業者側から重ねて情報提供する必要はないと考えられます 。
もっとも、この場合でも、 提供先の第三者が所在する外国の個人情報の保護に関する制度に関する情報や、当該第三者が講ずる個人情報の保護のための措置に関する情報について、認識していないことが通常であると考えられる ため 、「外国にある第三者への個人データの提供を認める旨」の本人の同意を得ようとする時点において、当該本人が、 提供先の第三者が所在する 外国の個人情報 の 保護 に関する制度に関する情報、及び当該第三者が講ずる個人情報の保護のための措置に関する情報を適切に認識していることを確認できた場合等の例外的な事由がある場合を除き、個人情報取扱事業者は 、こ
れらの 情報を 当該 本人 に 対して提供する必要があります。
水町感想 旅行会社は膨大な作業量になりかねず、大変そう。
No.108 Q 本人の指示に基づく外国提供は一般に同意不要
(意見)国際送金サービスでは、送金先国ではない第三国に所在する中継金
融機関を経由して送金することがあり、また、送金先国の提携金融機
関が複数存在することもあるため、国際送金サービスにおいて、顧客
からの個人データの越境移転の同意をサービスの利用規約への同意と
同時に取得する場合、その時点でどの国 事業者に個人データを提供す
るのかを特定することはできません。
①一方、国際送金において送金先国に個人データを提供することは、
顧客である個人本人の指示に基づくものであり、中継金融機関を経由
することもその指示の一部であると考 えられるため、そもそも海外企
業に顧客データの入力業務を委託するような場合と異なり、個別の送
金依頼とは別に本人からの同意を取得する必要はないことを明確にし
て頂きたいと考えております。
A
個別 のサービスについて は 、より具体的な情報に基づき個別の事案ごとに判断する必要がありますが 、 一般論として 、本人の指示に基づいて外国にある第三者に個人データ を 提供する場合において、当該指示が「外国にある第三者への 個人データの提供を認める 」 旨 の 本人の意思表示 を 兼ねると認められる場合には、 当該 指示とは別に、 本人 の 同意を 得る必要はないと考えられます。
ただし、この 場合においても、 提供元の事業者は、 改正後 の法第 24 条第2項に基づく同意取得時の 情報提供 義務 を 負うため、 原則 として、 改正後 の施行規則第
11 条の3第2項に基づく情報提供が必要となります。
もっとも、同意取得 時点において、提供先の 第三者が 所在する外国が特定できない場合には、改正後の施行規則第 11 条の3第3項に基づき、外国の名称 及び当該 外国における個人情報の保護に関する制度に関する 情報 に代えて、特定できない旨及びその理由、並びに外国の名称に代わる本人に参考になるべき情報が存在する場合には当該情報を提供する必要があります。
また、同意取得 時点において、 提供先の 外国にある 第三者 が 講ずる 個人情報 の保護のための措置に 関する情報 の提供ができない場合 には、当該情報 に 代えて、情報提供 できない 旨 及びその理由 について 情報提供する必要があります。
No.47 Q 提供先日本法人の外国支店・外国サーバでの取扱い
1) 提供先の第三者が日本法人であって、当該日本法人の支店がインドにあり、提供した日本人の個人データがそのインドにある支店で取り扱われている場合は、外国にある第三者への提供に該当しないと考えて良いか?
2) また、提供先の米国法人が運営するデータセンターがインドにあり、日本人の個人データがそのインドにあるデータセンターで取り扱われている場合は、本人同意を取得するときに本人へ情報提供する外国名としては米国で良いか?
A
1) 個別の事案ごとに判断する必要がありますが、国内にある提供元の事業者が、日本法人の外国支店に直接個人データを提供する場合には、「外国にある第三者」への提供に該当し得ると考えられます 。
2) 改正後の施行規則第 11 条の3第2項第1号の「当該外国の名称」における外国とは、提供先の第三者が個人データを保存するサーバが所在する外国ではなく、提供先の第三者が所在する外国をいいます。そのため、御指摘 のケースでは 、「当該外国 の名称」として米国である旨を情報提供することが求められます。
なお、提供先の第三者 が所在する 外国 の名称に加え、当該 第三者が個人データを取り扱う サーバの所在国についても 情報提供することは 、望ましい取組であると考えられます。
水町感想:No8との整合性がわからない。この場合、提供元から外国支店に直接提供だからなのか?No8の場合、当該外国法人には日本の個人情報保護法が適用になるので、
それで適正性を担保できるということだと思うが、No.47も、提供先の日本法人には日本の個人情報保護法が適用になる。外国への提供が直接なのか、間に誰が入っているかで違う解釈にしている?個別の事案ごとに判断って、その考慮要素とかを示す必要があるのでは??
No.48 Q 登記上の本店住所地が外国名?支店等はどうなる?
1「提供先の第三者が所在する外国」とは、提供先の第三者が法人や組合
の場合は当該第三者の登記上の本店所在地がある国でよいのか確認したい
2その第三者の支店等がある国についても提供する必要があるのか、以下
の場合に分けて明示され たい。
①同一法人の支店
②同一法人の駐在員
③海外子会社
④海外関連会社
⑤組合の場合の組合員
A
1 「国の名称」における外国とは、提供先の第三者 が所在する外国をいい、当該第三者が法人である場合には、通常 、当該第三者の本店所在地がある国がこれに該当すると考えられます 。
2 提供先である外国にある第三者が別の国に支店や現地子会社等を有する場合において、当該支店や 現地子会社 等 を有する国の名称 について情報提供すべきかは、 日本 にある個人情報取扱事業者が直接 当該 支店や現地子会社等 に対して 個人データを提供するものか 又は 外国にある第三者を経由して提供するものか等の個人データの提供のフローや、 提供された個人データの 取扱状況等を踏まえて個別 の事案ごとに判断する必要があると考えられます 。
もっとも、 例えば、日本にある個人情報取扱 事業者 が 外国にある第三者に 個人データを提供した上で 、 その後に当該外国にある第三者が当該 個人データを別の外国に所在する支店等に再提供し、取り扱わせる場合 においては 、 改正後の法第 24 条第2項 、改正後の施行規則第 11 条の3第2項第1号により 日本にある 個人情報取扱事業者が情報提供する必要のある 「当該外国の名称」は、当該外国にある 第三者が所在する外国の名称であり、 支店等が所在する外国の名称はこれに該当しないと考えられます。
No.49 Q 委託先にOECE8原則に対応する義務を課せば、その旨の情報提供でよい?
「当該第三者が講ずる個人情報の保護のための措置に関する情報」の調
査方法について具体的な説明が無いが、例えば委託先に対してOECD8 原
則に対応する措置を講じる義務を委託契約等で課していれば、その旨を
情報提供すれば足りると解してよいか。
A
御理解のとおりです。
提供すべき情報(特定できない場合)
No.109Q 委託先の候補が未決定の場合も特定できない場合に該当し得る
「提供先の第三者が所在する外国を特定できない場合」には、たとえば、
① グループ会社間で情報共有する場合において、今後どの国に拠点を作るか
同意取得時点でわからない場合や、 ② 個人データの取扱いを海外の業者に委
託する予定であるが、どの国のどの業者に委託するか同意取得時点で決定し
ていない場合も該当するという理解でよいか確認したい。もしそうであれ
ば、その事例も追加されたい。
A
改正後の法第 24 条第2項の趣旨は、 外国に ある第三者への個人データの提供 がなされる場合に 、 当該外国における制度や、 当該第三者に よる 個人データの取扱いに 関する 相違に起因するリスク について、本人の 予測可能性を高める 点 にありますので、提供先 の 第三者 が所在する外国を特定した上で 、 本人に対する 情報提供 を行 う ことが 原則 であると考えます 。
その上で、「 提供先 の第三者が所在する外国を特定できない場合」 の 該当性は、上記 の情報提供義務の 趣旨 を踏まえつつ、 個別の事案ごとに判断する必要がありますが、 例えば 、 一定 の目的で 個人データの 取扱いを 外国 にある第三者 に 委託する予定 である ものの、 本人 の同意を得ようとする時点において、 委託先 の候補が 具体的に 定まっていない 等により、提供先 の第三者が所在する外国が特定できない 場合 は、ここでいう 「 提供先 の第三者が所在する外国を特定できない場合」に 該当 し得る と考えられます。
ただし、この場合であっても、 特定できない旨 及び その理由を情報提供するとともに、 提供先の第三者が所在する外国の範囲を 特定 できる場合の当該範囲に関する 情報など 、 外国 の 名称 に代わる本人に参考となるべき 情報 の提供が可能である場合には、当該 情報を 提供する 必要があります。
「 提供先 の第三者が所在する外国を特定できない場合」 の 具体例等については、Q&Aでお示しすることを検討してまいります。
No.110 Q 段階的に一部の国が確定した場合は情報提供すると望ましい
「事後的に提供先の第三者が所在する外国が特定された場合には、」とある
が、提供先となり得る外国が複数ある場合等、提供可能性のある全ての外国
が確定することが見込まれないことも想定される。一方で、実際に海外規制
当局等から顧客情報の提供要請を受けた場合、少なくとも当該海外規制当局
が所在する外国は提供先として確定することになり、段階的に一部の外国が
特定できる場合もあると想定される。このような場合であっても、「事後的に
提供先の第三者が所在する外国が特定された場合」に該当し、本人の求めに
応じて、提供先として確定した外国の みに関する情報を提供することが求め
られるか。
A
御指摘の箇所は、本人の同意を得ようとする時点において、 提供先 の第三者が所在する外国の名称が特定 できず、改正後 の施行規則第 11 条の3第3項に基づく情報提供 を行った場合 で あっても、 本人の 予測可能性 を高める 観点 から、事後的に提供先の 第三者 が所在する 外国を 特定できた 場合 には、 本人 の求めに応じて情報提供を行うことが望ましい旨を記載するものです。
段階的に一部の外国について 事後的に特定 できた場合 であっても、 特定 できた外国について、本人の求めに応じて 情報提供を行う ことは、 望ましい 取組 であると考えられます。
No.111 Q 規制当局から情報提供しないよう要請されたら事業者判断だが、記録義務はかかる
「事後的に提供先の第三者が所在する外国が特定された場合には、本人の求
めに応じて情報提供を行うことが望ましい。」とあるが、個人データの提供要
請のあった海外規制当局から、個人データを提供した事実を本人に開示しな
いことを要請されることもあり得る。この場合は、個人情報取扱事業者にお
いて対応を判断すべきとの理解でよいか。
A
御指摘の箇所については、事業者における望ましい取組を記載するもので す 。そのため、 改正後の法第 24 条第1項の同意を得ようとする時点において、提供先の第三者が所在する外国が特定できないとして、改正後の施行規則第 11 条の3第3項各号に基づく情報提供を行って本人の同意を取得した後に、提供先の第三者が所在する外国が特定された場合において、 海外 規制当局から本人への情報提供をしないよう要請されている場合 には、各事業者 において本人 への情報提供 の 可否を 判断 いただくことになると考えられます。
なお、 例えば、 海外 規制当局から本人への情報提供をしないよう要請される ことが あらかじめ 合理的に予測できる場合には、本人の同意を取得 する時点において、事後的に情報提供できない可能性がある旨を説明 しておくことも、望ましい取組の一つであると考えられます。
ただし、当該海外規制当局への個人データの第三者提供についても、原則として改正後の法第 25 条に基づく記録義務の対象となるところ、 本人から第三者提供記録の開示請求 (改正後の法第 28 条第5項) がなされた場合には、原則として、提供先の第三者の名称等を含む第三者提供記録を開示する必要がある点に留意が必要です。
No.112 Q 国名特定できずに情報提供義務を果たせば事後の情報提供は義務ではない
例えば、海外規制当局からの要請に基づいて顧客情報の提供を行うようなケ
ースにおいては、口座開設等の契約時点で事前に得た本人の同意に基づき、
外国にある第三者へ情報提供をすることがある。このような場合、本人は自
己に関する個人データが外国にある第三者に提供されたことについて認識し
得る機会がないが、 個人情報取扱事業者としては、あくまで本人からの求め
をきっかけとすることとし、受け身でよいと いう理解でよいか。
A
本人の同意を得ようとする時点において、 提供先 の第三者が所在する外国の名称が特定 できず、改正後 の施行規則第 11条の3第3項に基づく 情報提供 を行った上で本人の同意を取得した 場合 、 提供元の事業者 は、 事後的に提供先の 第三者 が所在する 外国 を特定できた場合であっても、本人に対してその旨を通知 等する 義務はありません。
もっとも、事後的に提供先の 第三者 が所在する 外国を 特定 できた場合 には、 本
人 の 予測可能性 を高める 観点 から、 本人の求めに応じて情報提供を行うことが望ましい取組 であると考え られます。 その前提として、特定できた場合に 、その 旨
を 本人 に 通知等 する こと により、 本人が情報提供 の求めを行いやす いようにすることも、 望ましい取組であると 考えられます 。
No.113 Q 口座開設時点ではどの海外規制当局から情報提供要請を受けるか想定できない場合も国名特定不可に該当しうる
「本人の同意を取得しようとする時点において、提供先の第三者が所在する
外国を特定できない場合」の事例として、「日本にある銀行または金融商品取
引業者が海外規制当局からの顧客情報の提供要請を受ける場合において、口
座開設時点ではどの海外規制当局から情報提供要請を受けるか想定できない
場合」を追加してほしい。
A
「 提供先 の第三者が所在する外国を特定できない場合」 の 該当性は、
上記 の情報提供義務の 趣旨 を踏まえつつ、個別の事案ごとに判断する必要があ
りますが、 例えば 、 日本 にある金融機関が、 外国にある 当局から顧客情報の提供
要請を受ける ことが 想定されるものの、本人の同意を得ようとする時点 において、 どの外国 の当局 から 提供要請が なされるかが不明 である 等 により、提供先の第三者が所在する外国 を特定できない場合も、 ここでいう 「 提供先 の第三者が所在する外国を特定できない場合」 に 該当し 得る と考えられます。
ただし、この場合であっても、 特定できない旨 及び その理由を情報提供するとともに、 提供先の第三者が所在する外国の範囲を 特定 できる場合の当該範囲に関する 情報など 、 外国 の 名称 に代わる本人に参考となるべき 情報 の提供が可能であ
る場合には、 当該 情報を 提供する 必要があります。
「 提供先 の第三者が所在する外国を特定できない場合」 の 具体例等については、Q&Aでお示しすることを検討してまいります。
No.114 Q 提供先が具体的に決まっていない場合、国名特定不可に該当しうる
提供先の第三者の属性は特定できているが、具体的な提供先が確定していな
いか若しくは同意取得の時点以降も当該属性の範囲で提供先の第三者が追加
される可能性があること等により、提供先の第三者が所在する外国が特定で
きない場合等も [5 3 1 提供先の第三者が所在する外国が特定できない場合
に該当するという理解で良いか。その理解で良い場合、事例として明確に示
して頂きたい。その他、 [5 3 1 提供先の第三者が所在する外国が特定できな
い場合 に該当する事例について、より一般的な事例を追加で示して頂きた
い。
Q116/117 「再保険」は該当事例が限定的であるため、「委託先が追加されるケース」など、一般的な事例に変更するか、他の一般的な事例を追加していただきた
い。
Q118 多国籍企業においては、顧客の依頼等に基づいて、個人情報を取り扱う場合
に、 複数の 海外グループ企業と 共同利用する ことや 、 グループ内外 の 複数の委託先に委託することがあり 、 同意取得の時点で、当該顧客の個人データの提供先を特定することが困難な場合がある。特に、顧客から、取引開始時に、包括的に同意取得する場合は、個別の案件ごとに、個人データを移転する外国は異なるので、当該顧客の個人データの提供先となる外国を特定できない。事例 1 )、事例 2) は特定の業種の特定の業務に関する事例であるので、ここに記載したような、多くの業種に当てはまるような一般的な事例を記載していただきたい。
A
「 提供先 の第三者が所在する外国を特定できない場合」 の 該当性は、上記 の情報提供義務の 趣旨 を踏まえつつ、個別の事案ごとに判断する 必要がありますが、 例えば 、 一定 の目的で 個人データの 取扱いを 外国 にある第三者 に委託する予定 であるものの、 本人 の同意を得ようとする時点において、 委託先 の候補が具体的に 定まっていない 等により、提供先 の第三者が所在する外国が特定できない場合 は、ここでいう 「 提供先 の第三者が所在する外国を特定できない場合」に 該当 し得る と考えられます。
ただし、この場合であっても、 特定できない旨 及び その理由を情報提供すると
ともに、 提供先の第三者が所在する外国の範囲を特定 できる場合の当該範囲に関
する 情報など 、 外国 の 名称 に代わる本人に参考となるべき 情報 の提供が可能である場合には、 当該 情報を 提供する 必要があります。
No.119 Q 世界各国にサーバがある外国サービスを利用する場合でも、国名特定不可に該当しない
世界各国に拠点やサーバーがある外国の事業者が運営するサービスを利用す
るに際し、実際に個人データが提供される拠点のある外国は機密情報として
非開示であるということが当該外国の事業者の方針であるため、提供元では
外国を特定することができない場合がありうる。その場合、外国を特定でき
ない理由として、例えば「機密情報のため開示しないことがサービス提供者
の方針である」と説明したとしても、個人データの越境移転に伴うリスクに
関する本人の予測可能性の向上という趣旨には沿わないと考えられる。この
ような外国の事業者が提供するサービス を利用するにあたり、実務上の対応
例をお示しいただきたい。
A
改正後の施行規則第 11 条の3第2項第1号 の 「 当該外国の 名称」 に おける外国
とは、 提供先の第三者が個人データを保存するサーバが所在する外国ではなく、提供先の第三者が所在する外国をいいます。そのため、提供先 の第三者が 個人データ を保存するサーバが 所在する外国 が特定できない場合でも、提供先の第三者が所在する外国が特定できる 場合 には、改正後 の施行規則第 11 条の3第3項における「 前項第 1 号に定める事項が特定できない場合」 には 該当しません。
No.122 Q「当社グループ会社に提供する」という説明は参考情報となる
「( 2 )提供先の第三者が所在する外国の名称に代わる本人に参考とな
るべき情報」について、例えば、「当社グループ会社に提供する」という説明
が(本当に、当社グループ会社のみに提供する限り)該当することを確認さ
れたい。
A
個別の事案ごとに 判断 されますが、 例えば 、 ホームページ に おいて グループ会社の所在 国 が公表されている場合など、「当社のグループ会社に提供する 」旨の情報提供 により、 本人 が提供先 の第三者が 所在する外国の範囲を認識できる場合には、 「当社のグループ会社に提供する 」旨 は、改正後 の施行規則第 11 条の3第3項 第2号における「 前項第 1 号に定める事項に代わる本人に参考となるべき情報」 に 該当 し 得ると考えら れます。
ただし、御理解のとおり、この場合 、本人の同意の範囲は、「 当社 のグループ会社」の 範囲に限定されると考えられますので、 「 当社のグループ会社 」 以外 の 外国にある 第三者 に個人データを提供する 場合 には 、 別途 改正後 の法第 24 条第2項に基づく情報提供を行った上で、 本人 の同意を得る必要があると考えられます。
No.124 Q「保有資産の発行体及び保管機関が属する国」のような包括的な表現は参考情報となる
金融機関においては、個人データを提供する可能性のある外国は、保有資産
状況等により、顧客ごとに異なることから、「移転先となる外国の候補」を参
考として外国の名称を提供するとなると、想定される外国の名称を一律に提
供せざるを得ないことから、かえって顧客に対する情報提供の明確性を損な
うと考えられる。従って、例えば「保有資産の発行体及び保管機関が属する
国」のような包括的な表現で情報提供することも考えられることから、ガイ
ドラインの事例として追加してほし い。
A
個別の事案ごとに 判断 されますが、 例えば 、 本人が 提供先 の第三者が 所在する外国 の候補を 合理的に 認識できる 場合 には、 当該候補 の名称 を 個別に示す 形ではなく、 包括 的な 表現 を用いる 形 で 情報提供する こと も、改正後 の施行規則第 11 条の3第3 項 第2号における「 前項第 1 号に定める事項に代わる本人に参考となるべき情報」 に 係る情報提供として認められると考えら れます。
No.127 Q合理的な 手段を 尽くした上で、提供先の保護措置 に関する情報 が十分に得られていない 場合は、特定できない場合に該当し得る
提供先の第三者が講ずる個人情報保護のための措置の内容について、当該提供先の第三者から十分な情報提供を得られない場合(例:「適切な措置を講じている」等の包括的な情報提供のみで、 OECD プライバシーガイドライン 8 原則に対応する形式による情報提供が得られないことにより、当該 8 原則のうちどの原則に対応する措置を講じている/講じていないかを明確に示すことができない場合等)についても [5 3 2 提供先の第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合 に該当するという理解で良いか。その 理解で良い場合、事例として明確に示して頂きたい。
その他、[5 3 2 提供先の第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合 に該当する事例について、より一般的な事例を追加で示して頂きたい。
A
改正後の法第 24 条第2項の趣旨は、 外国に ある第三者への個人データの提供 がなされる場合に 、 当該外国における制度や、 当該第三者に よる 個人データの取扱いに 関する 相違に起因するリスク について、本人の 予測可能性を高める 点 にあります ので、提供先 の 外国にある 第三者 を「 提供先 の第三者が 講ずる個人情報の保のための措置に関する情報の提供ができない場合 」 の 該当性は、 上記 の情報提供義務の 趣旨 を踏まえつつ、個別の事案ごとに判断する必要がありますが、 例えば 、 一定 の目的で 個人データの 取扱いを 外国 にある第三者 に委託する予定 であるものの、 本人 の同意を得ようとする時点において、 委託先 の候補 が具体的に 定まっていない 等により、提供先の第三者が特定でき ず、当該第三者が講ずる個人情報の保護のための措置に関する情報が提供でき ない場合 は、ここでいう 「 提供先 の第三者が 講ずる個人情報の保護のための措置に関する情報の提供ができない場合 」 に 該当 し得る と考えられます。
また、個別の事案ごとに判断する必要がありますが、 提供先 の外国 にある第三
者 が特定できている 場合 であっても、 例えば、合理的な 手段を 尽くした上で、提
供先の第三者が講ずる個人情報の保護 のための措置 に 関する 情報 が十分に得られ
ていない 場合 に も 、 ここでいう 「 提供先の第三者が 講ずる個人情報の保護のための措置に関する情報の提供ができない場合 」 に 該当 し得る と考えられます。
「 提供先 の第三者が 講ずる個人情報の保護のための措置に関する情報の提供ができない場合 」 の 具体例等については、Q&Aでお示しすることを検討して まい
ります。
提供すべき情報(法制・支障等)
No.109 Q ガバメントアクセスとは具体的にどういう場合か(日本の令状による情報収集と本質的な差異がないものは非該当)
【意見】
事例1 )で、「『事業者に対し政府の情報収集活動への広範な協力義務を課
すことにより、事業者が保有する個人情報について政府による広範な情報収
集が可能となる制度が存在する』旨の情報提供」が挙げられているが、具体
的にどういった場合が該当するのか明らかにされたい。
また、個人情報保護委員会が提供を予定している外国の制度の概要等の中
に、「当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国
の制度」についても含められたい。
【理由】
日本でも、令状に基づく個人情報の収集が認められており、令状がない場
合でも、事業者は任意に協力することが求められている(個人情報保護法 23
条 1 項 1 号、刑事訴訟法 197 条 2 項等)。このことは多くの国においても同様
だと思われる。そうした制度すべてを記載することは必要ないと思われる
が、改正案の「広範な協力義務を課すことにより」や「広範な情報収集が可能となる制度」という例示は、非常にあいまいで明確でなく、事業者が提供
すべき情報の範囲を正しく判断することができない。
そもそも、外国の制度概要等の情報提供を事業者ごとに行わせることは事業者にとって過大な負担となり、また社会経済的にも効率がよいとはいえず、個人情報保護委員会のような公的な機関等が必要な情報を取りまとめ、開示する方法が望ましい。また、本人への情報提供内容が事業者ごとに異なることにより、本人において情報提供に関する適切な判断が困難となる可能性がある。
A
「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」としては、本ガイドライン(外国にある第三者への提供編)案6-1に記載の事例1及び事例2のように、提供先の外国にある第三者との間で契約等を締結 している場合においても、当該外国の制度の存在により、当該契約等の履行が困難となる可能性があり、 我が国の個人情報取扱 事業者により 個人データが 取り扱われる 場合 に 相当する程度の本人の権利利益の保護 の確保に影響を及ぼす可能性がある制度を想定しています。
個別の制度ごとに判断する必要がありますが、 例えば 、 捜査機関による 情報収集を可能にする制度についても、我が国における制度 と比較 して、 本人の権利利益 の 保護の観点から 本質的な 差異があるもの でな い 場合 には 、 「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」 には含まれないと考えられます。
改正後の法第24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関 する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。
No.176 Q 「支障」に軽微な契約違反等は含まれない
「外国第三者による措置実施に関する支障」に関する情報提供に関連して、
情報提供義務の対象となる「支障」はどの程度のものが想定されているので
しょうか。実際には、措置の実施に関する不備としては、廃棄方法の不備な
ど漏えいに直接つながりかねない重大なものから、定期的に実施される従業
員教育の一部の漏れといった軽微なものまで、さまざまなレベルのものが想
定されます。
(理由)
軽微なものまで情報提供義務の対象になると負担が重いので、範囲について
考え方を確認しておきたいと考えています。
A
改正後の法第24 条第3項における情報提供の趣旨は、情報提供により、本人が必要に応じて自己の権利利益の保護のための措置を講じられるようにすることにあります。
そのため、改正後の施行規則第11 条の4第3項第6号の「相当措置の実施に関する支障」についても、本人の権利利益の保護に影響を及ぼし得るものについて情報提供すれば足り、軽微な契約違反等について情報提供することは求められません。
No.59 Q 「支障」に軽微な契約違反等は含まれない
・(ア)当該外国における個人情報の保護に関する制度の有無は、「個人情報
の保護に関する制度」の有無のみを記載すればよいという理解で良いか。
・(イ)当該外国の個人情報の保護に関する制度についての指標となり得る情
報の存在は、「指標となり得る情報」が存在する場合のみ記載すればよいとい
う理解で良いか。また、「当該指標となり得る情報が個人データの越境移転に
伴うリスクとの関係でどのような意味を持つかについても、本人に対して情
報提供を行うことが望ましい」とある。この点、当該外国の個人情報の保護
に関する制度についての指標となり得る情報に該当する事例は示されている
が、『個人データの越境移転に伴うリスクとの関係でどのような意味を持つか
についての本人への情報提供』 の事例を追記してはどうか。
・(ウ)OECDプライバシーガイドライン8原則に対応する事業者の義務又
は本人の権利の不存在は(イ)を記載する場合は不要であり、また、OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利
の存在有無(無の場合はその内容)を記載すれば良いという理解でよいか。
・(エ)その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
は、「その他本人の権利利益に重大影響を及ぼす可能性のある制度」が存在す
る場合のみ記載すればよいという理解で良いか。
A
(ア)御理解 のとおりです。 なお、 提供先の第三者が 所在する外国において、個人情報 の保護に関する制度が 存在する 場合には、 当該制度 に係る 法令の個別の 名称 を 本人 に情報提供することは求められない ものの、 本人の求めがあった場合 に情報 提供 できるように しておく ことが 望ましい と 考えられます。
(イ)前段 について は、 御理解 のとおりです。 「指標 となり 得る 情報 」 については 存在する場合に のみ 提供すれば足ります。
後段については、 例えば、 「 GDPR第 45 条に 基づく 十分性認定の取得国であること」 については、 当委員会が我が国と同等の保護水準 にある と認め られる個人情報 の保護に関する制度を有する外国 等 として指定しているEU(EU 加盟国 及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の 保護に関する制度であるGDPR に基づき 、 欧州委員会が 十分な データ保護 の 水準を有していると認められる旨の決定を行っている国であることから、概ね 我が国 と同等の 個人情報 の 保護が期待できる という 意味で、「 指標 とな り 得る 情報 」に 該当すると考えられます。この場合、 「指標 とな り 得る情報 」の意味に関する 本人 への情報提供 としては 、例えば、 「GDPR に基づき 、欧州委員会が 十分なデータ 保護の 水準を有していると認められる旨の決定を行っている国であることから、概ね我が国と同等の個人情報 の 保護が期待できる」といった情報提供 を
行う ことが考えられます。
(ウ)前段 について は 、 「指標 となり 得る 情報 」について情報提供 することで、個人データ の 越境移転 に 伴う リスクについての 本人の 予測可能性 は一定程度担保される と 考えら れる ため 、この場合には、 OECDプライバシーガイドライン8原則に 対応する事業者の義務又は本人の権利の不存在に関する情報提供は 求められ ません。
後段について は 、 提供先 の 第三者 が所在する個人情報の保護に関する制度 において、OECDプライバシーガイドライン8 原則に対する事業者の義務又は本人の権利 の 不存在がある場合には、 その 内容について 情報提供する 必要があります。なお、 提供先の第三者が所在する外国の個人情報の保護に関する制度に、OECD プライバシーガイドライン 8 原則に対応す る事業者の義務及び本人の権利が全て含まれる場合には、その旨を本人に情報提供すれば足りると考えられます 。
(エ)御理解 のとおりです。
No.72 Q 指標となる情報の例
「当該指標となり得る情報が個人データの越境移転に伴うリスクとの関係でどのような意味を持つか」は抽象的に過ぎ るので具体化・例示をしていただきたい。
A
「GDPR 第 45 条に 基づく 十分性認定の取得国であること」については、当委員会が我が国と同等の保護水準 にある と認め られる個人情報 の保護に関する 制度を有する外国 等 として指定し ているEU(EU 加盟国 及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン) の個人情報の 保護に関する制度である GDPR に基づき 、 欧州委員会が 十分なデータ保護 の 水準を有していると認められる旨の決定を行っている国であることから、概ね我が国と同等の個人情報 の 保護が期待できるという 意味で、「 指標 とな り 得る 情報 」 に 該当すると考えられます。
この場合 、 「指標 とな り 得る情報 」の 意味に関する 本人 への情報提供 としては、例えば、 「GDPR に基づき 、 欧州委員会が 十分なデータ 保護の 水準を有していると認められる旨の決定を行っている国であることから、概ね我が国と同等の個人情報 の 保護が期待できる」といった情報提供 を 行う ことが考えられます。
また、「APECのCBPRシステムの加盟国であること」については、CBPRシステム加盟の前提として、APECの プライバシーフレームワークに準拠した法令を有していること、及びCBPR認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、 CBPRシ ステム に 加盟 している 外国においては、 APEC の プライバシーフレームワーク に準拠した 法令と 当該 法令 を 執行する 執行機関を有していると 考えられる ため、 個人情報 の保護について 概ね我が国と同等の保護が期待できるという 意味で、「 指標とな り 得る 情報 」 に 該当すると考えられます。
この場合 、 「指標 とな り 得る情報 」の 意味に関する 本人 への情報提供 としては、例えば、 「CBPR システムに加盟しており 、APEC の プライバシーフレーム ワークに 準拠した 法令 及び 当該 法令を執行する 執行機関を有していると考えられることから、 概ね我が国と同等の個人情報の 保護が期待できる」といった情報提供を 行う ことが考えられます。
No.77 Q「十分制認定プロセスが進行中」では指標とならない
「韓国は現在 GDPR の十分性認定に向けたプロセスが進んでいます(https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2964 )」
と説明することで、「当該外国の個人情報の保護に関する制度についての指標
となり得る情報」を提供したといえるか。
A
「指標となり得る情報 」については、既に GDPR 第 45 条に基づく 十分性 認定を取得している ことのように、 当該 外国の制度 について一定 の評価等が 完了 していることを 想定しているため、十分性 認定の 取得 に向けた 手続 が 継続中 である旨
は、 「指標 となり得る情報 」には 該当しないものと考え られ ます。
No.81 Q CBPR,GDPR,OECD8原則の説明も必要に応じて必要
改正案では、
CBPR の加盟国であることや、 GDPR 十分性認定国であること
58 頁)、 OECD プライバシーガイドラインの8原則に対応する措置の有無等
を開示すること( 59 頁)が提案されているが、事業者がそれらの各制度や内
容についての説明までする必要はないと考えてよいか確認したい。
A
「外国に おける個人情報の保護に関する制度についての 指標 となり得る情報 」として、 移転先 の 外国 がGDPR第 45 条に基づく十分性認定 を 取得 している旨や、 APEC のCBPRシステムに 加盟している旨 についての情報提供を行う場合には、 それぞれの「指標 となり 得る 情報 」 の意味合いについても説明することが 望ましい と考えられます が、 その一環として、必要に応じて各制度 についても説明することが考えられます。
また、OECDプライバシーガイドライン 8原則 に 対応する事業者の 義務 又は本人の権利 の不存在についての説明に際しては、必ず しもOECD プ ライバシーガイドライン8原則の内容についての説明 は 求められませんが、情報提供に際しては、 本人 に分かりやすい情報が提供される ことが 重要であると考えます。
No.86 Q OECD8原則の具体的な内容(条文内容、執行状況等)までは不要
「(ウ) OECD プライバシーガイドライン 8 原則に対応する事業者の義務又は本人の権利の不存在」について、 OECD8 原則に対応する事業者の義務又は本人の権利が存在していれば、その具体的な内容(条文の内容、執行状況等)まで踏み込んで情報提供する必要はないと理解してよいか。
A
ご理解の通りです。
No.87 Q OECD加盟国でもOECD8原則について確認要
第三者の所在する外国がOECD 加盟 30 カ国に該当していれば本要件を満たすのか、あるいは OECD への加盟国か否かには関わらず、当該外国の個人情報保護制度が OECD プライバシーガイドライン 8 原則に準拠しているかを個別に判断する必要があるかを明確にして頂きたい。
また、後者の場合には、個人情報保護委員会として、OECD プライバシーガイドライン 8 原則に 準拠した制度を有する外国を公表して頂きたい。
A
前段について は 、OECDプライバシーガイドライン は、OECD 加盟国に対する法的拘束力を有する ものではないため、 提供先 の第三者が 所在する外国が OECD 加盟国 である 場合にであっても 、当該 外国の個人情報の保護に関する制度について、OECDプライバシーガイドライン 8 原則 に 対応する事業者の 義務 又は本人の権利の不存在 の 有無について確認いただく必要があると考えます。
後段については、 改正後 の法第 24 条 第2 項 の趣旨には、個人データの越境移転を行う事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点もありますので、当該外国における個人情報の保護に関する制度についての 確認は、 提供元の事業者の責任において行っていただくべきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。
No.95 Q 国内保存義務も、日本法制と本質的な差異があるかどうか
「(エ)その他本人の権利利益に重大な影響を及ぼす可能性の
ある制度の存在」事例 2 )「事業者が本人からの消去等の請求に対応できない
おそれがある個人情報の国内保存義務に係る制度」について、例えば労働法
や租税法の関係で保存義務が課されている情報について一定期間事業者に保
存義務が課されている場合は該当するのか。
A
「本人の権利利益に重大な影響を及ぼす可能性のある制度 」については 、 提供先 の第三者 が 所在する外国において、我が国の制度 と 比較 して、当該 外国への個人データの越境移転 に 伴 って 当該個人データに係る本人の権利利益に 重大な 影響を及ぼす 可能性が あると考えられる 制度を想定して います。個別の制度ごとに判断する必要がありますが、 例えば 、 国内 保存義務についても、我が国 における制度 と比較 して、 本人の権利利益 の 保護の観点から 本質的な差異がある もの でな い 場合 には 、 「 本人の権利利益に重大な影響を及ぼす可能性のある制度 」 には含まれないと考えられます。
No.96 Q 国内保存義務も、おそれが 具体的 ・ 客観的に存在する場合
② 「(エ)その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在」事例 2 )「事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度」について、おそれが認められないのはどのような場合か具体的に明らかにされたい。国内保存義務に関する制度があるものの、個人情報を対象に含むと明示されておらず、そのような実例も存在しない場合、おそれはないと判断してよいか。
A
「本人の権利利益に重大な影響を及ぼす可能性のある制度 」については 、 提供先 の第三者 が 所在する外国において、我が国の制度 と 比較 して、当該 外国への個人データの越境移転 に 伴 って 当該個人データに係る本人の権利利益に 重大な 影響を及ぼす 可能性が あると考えられる 制度を想定して います。
例えば、 個人情報 の国内保存義務 に 係る制度については、 当該制度 の 存在 により、外国にある第三者が本人からの 消去等 の請求を受けた場合に、それに 対応 できない おそれが 具体的 ・ 客観的に存在する 場合 を想定して います。
No.100 Q 個人情報保護法に限定されない法制度調査
事例1)において政府の広範な情報収集活動に関する制度について、事例2)において個人情報の国内保存義務に係る制度について記載されているところ、これら制度の根拠法令や規定が、必ずしも各国の「個人情報の保護に関する制度」に規定されている訳ではない。そこで、ここで求められている情報が、これら制度に関する根拠法令や規定なのか、または、「個人情報の保護に関する制度」に規定された、それら制度に対する保護措置を意味するのか、詳細にご記載いただきたい。
A
「本人 の権利利益に重大な影響を及ぼす可能性のある制度 」については 、 提供先 の第三者 が 所在する外国において、我が国の制度 と 比較 して、当該 外国への個人データの越境移転 に 伴 って 当該個人データに係る本人の権利利益に 重大な 影響を及ぼす 可能性が あると考えられる 制度 を想定して いますが、 提供先の 外国 にある第三者 に 適用される制度であ れば、 当該外国の個人情報保護法に 規定 されているものに 限られません 。
相当措置の継続的な実施を確保するために必要な措置
<意見>
「外国の制度の有無及びその内容」を「適切かつ合理的な方法」で年1回以
上の頻度で確認するのは事業者にとって多大な負担である。
また、事業者ごとに提供する情報の時点や内容が異なることも考えられ、本
人がかえって混乱することが懸念されるため、個人情報保護委員会において
最新情報を提供していただきたい。
個人情報保護委員会が最新情報を提供しない場合には、「適切かつ合理的な方
法」の水準の解釈は柔軟にされるべきである。
<理由>
外国にある第三者への確認は地理的要因等により事業者に多大な負担となる
可能性があることを懸念するため。また、事業者ごとに提供する情報が異な
ることにより本人が混乱することが懸念されるため。
A
改正後の法第 24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責 務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会 においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。
水町感想
確かに、事業者ごとに解釈の相違、情報が古い、事実認識の齟齬等が出かねない。
「外国にある第三者による相当措置の実施に影響を及ぼすおそれのあ
る当該外国の制度」は、必ずしも個人情報の保護を目的とする法令に限られ
ず、たとえば安全保障や治安維持を目的とする法令や訴訟法令等に規定され
る可能性があり、広範な調査を要するおそれがある。そのため、個人情報取
扱事業者として、上記例示の行政機関等が公表している情報としてどの範囲
までを調査すれば「一般的な注意力をもって適切かつ合理的な方法により確
認」したことになるのか、目安をご教示いただきたい。
(理由)
ガイドライン 案 72 頁では、【相当措置の実施に影響を及ぼすおそれのある
外国の制度に該当する事例】として、「事業者に対し政府の情報収集活動への
広範な協力義務を課すことにより、事業者が保有する個人情報について政府
による広範な情報収集が可能となる制度」と「事業者が本人からの消去等の
請求に対応できないおそれがある個人情報の国内保存義務に係る制度」の 2
つの事例が掲げられている。
しかし、規則第 11 条の 3 第 2 項第 2 号に係る情報は、対象国の個人情報の
保護に関する法令を調査すれば取得可能であるのに対して、上記の 2 つの事
例をはじめとする 「外国にある第三者による相当措置の実施に影響を及ぼす
おそれのある当該外国の制度」は、安全保障や治安維持等の個人情報保護に
限定されない様々な目的を有する法令や訴訟法令等に規定されている可能性があることから、その制度の存否を回答するためには対象国についての相当数の法令を調査する必要があり、あまりに過大な負担となることが容易に想定される。
事業者に対する過大な負担とそれに伴う対応不足により本人に十分な情報
が提供されず本人の権利利益保護が不十分となることを防ぐため、貴委員会
にて当該情報を公表いただくことを強く求める。
また、公表予定の情報の内容、対象国及び公表時期についての貴委員会の
ご想定を回答いただきたい。海外法制の調査は情報の取得が困難で長期の時
間を要する場合もあるところ、早期のご回答により、個人情報取扱事業者と
しても公表予定のない情報に注力した情報の収集を行うことが可能となり、
結果として本人保護に繋がるものと考えられる。公表いただく情報の対象国
として、特に、海外進出日系企業の拠点数や日本との貿易額の上位国につい
ては、情報を公表いただくことによる便益が極めて大きいものと思料され
る。
そして、調査すべき法令の 範囲について目安を設定いただくことにより、
個人情報取扱事業者が重大な法令の見落としをすることなく、適切な調査が
可能となるため、本人保護のためにもこれを求める。
A
改正後の法第24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。対象 予定国 や 公表に 向け た スケジュール等については、本年 の秋頃 を 目途 にお示しすることを 検討してまいります。
改正後の施行規則第 11 条の4第1項第1号の 「外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度」の 確認 については、 一般的な注意力をもって、 適切かつ 合理的な方法 による必要があり 、具体的な 方法 や調査の 範囲 については 、 個別の事案 ごとに 判断 する必要があると考えられます 。なお、「 適切かつ合理的な 方法」としては、 我が国又は外国の行政機関等が公表している情報を 確認する 方法のほか、提供先の外国にある第三者に対して 照会 する方法 等 も考えられます。
水町感想
あまりに的を射ている。あまりに論理的、説得的な文章で、この文章を作成できる方、すごいと思う。
<意見>
外国の制度について、改めて、個人情報保護委員会からも情報提供いただく
ことをお願いしたい。事業者において提供先国に関する情報のリサーチをさ
せて保護の状況を把握させるとい う趣旨は理解できるが、各事業者個別に各
国法制度をリサーチさせるのではなく、当局から提示される情報をリサーチ
して把握するというのでも十分趣旨は達成され、非効率性や過度な負担も低
減される。
<理由>
全ての提供先国の外国法制度を個別にリサーチすることは、事業者の規模も
大小様々であり、現実的には相当程度の負担となり得るもので、当局からの
情報提供を改めてお願いしたい。
Aは割愛(ほぼすべてのQに対して同様のAのため)
No.55 Q 一般的な注意力をもって適切かつ合理的な方法により確認すればよい
外国の制度を調査するために、事業者はどの程度の調査を行えばよいのか。提供先の第三者からのヒアリングで足りるか。当該外国の行政機関等がウェブサイト等において公表している情報を確認する程度で足りるか。当該外国政府に対して照会を行う(あるいは提供先を通じて照会させる)必要があるか。現地の弁護士等から意見書を取得する必要はあるか。外国にある第三者への提供編 6-1 に記載されている程度で足りるのであれば、その旨を明示されたい。
A
2号の「 外国に おける 個人情報の保護 に関する 制度に 関する情報 」 は、 一般的な
注意力をもって適切かつ合理的な方法 により確認したものである必要があります。
No.141 Q ガバメントアクセス制度が存在すること自体、相当措置の継続的な実施の確保が困難になるケースと同義か
(御意見)
個人情報取扱事業者が、データ入力等を委託する契約に基づき、外国にあ
る第三者(基準適合体制を整備している企業)に個人データを提供している
として、当該外国で、 72 ページ記載の事例1の制度注が存在する旨判明した
場合、事実上、それを解消又は改善するための必要かつ適切な措置を講じる
ことは極めて困難と考えられる。
そのため、事例1 のような制度が存在すること自体、相当措置の継続的 な
実施の確保が困難になるケースと同義であると考えるべきか。
このような制度が存在する場合でもなお、当該外国の第三者による相当措
置の継続的な実施を確保するための必要な措置(当該支障の解消又は改善の
ために必要かつ適切な措置)として考えられる事例があれば、ご教示いただ
きたい。
注)事業者に対し政府の情報収集活動への広範な協力義務を課すことによ
り、事業者が保有する個人情報について政府による広範な情報収集が可能
となる制度
A
一般論として、 提供先 の第三者が所在する 外国 において、 御指摘 の事例1のよ
うな制度が存在する場合においても、当該制度の存在自体により 、直ちに外国に
ある 第三者による 「相当措置の継続的な実施の確保が困難となった」に該当する
ものではなく、当該 第三者による個人データの取扱状況 や、 当該制度の運用の状
況等を踏まえ て、外国にある第三者による相当措置の継続的な実施の確保が困難
となったか否かを個別の事案ごとに 判断する必要があると 考えられます 。
水町感想
的を射た質問。回答については、制度の運用状況を踏まえるというのは、かなり難しいところな気がする。。。
No.142 Q 具体的な確認方法
(意見
第三者において相当措置の実施状況を確認する際に、「書面により報告を受け
る方法又はこれらに代わる合理的な方法」とあるが、外形的な手続き面のみな
らず、事例として実質的な確認方法をガイドラインまたは Q A 等にて具体例
を示すべき。
(理由
クラウド化が進む現在、外国にある事業者との関係において、ガイドライン等
で標準的な方法を示す事で、より実効的な対応を促進する事が可能と想定され
るため。
A
提供先の 外国 にある第三者によ る相当措置の実施 状況 は、 当該 外国 にある第三
者 に 提供する個人データの 内容 や規模 に応じて 、適切かつ合理的な方法により 確
認する 必要がありますが 、 具体的な 確認の 方法 については、個別の事案における
具体的な事情 も 踏まえて 決定 すべきものであると考え られます 。
No.134 Q 一度きりの提供でも法第 24 条第 3 項に基づく措置等を講ずる必要がある
これは、仮に、第三者提供が一度きりのものであり、提供先において当該第
三者提供にて提供された個人データの取り扱い自体は継続しているものの、
第三者提供自体はすでに停止している場合には適用されないと考えてよろし
いでしょうか。
A
そのため、提供元の事業者 は、当該第三者において当該個人データの取扱いが継続する限り 、改正後 の 法第 24 条第 3 項に基づく 措置等を講ずる 必要があり、この点 は、 当該 第三者に対する個人データの提供が一度 のみである 場合も同様です。
No.135 Q 契約解除後でも法第 24 条第 3 項に基づく措置等を講ずる必要がある
国内 での販売受託業務提携の解消のため、 購買者 情報を 管理 する製造販売元である外国事業者の措置状況の確認を継読することが困難な場合の対応について説明いただきたい。
A
提供元 の事業者 は、当該第三者において当該 個人データの取扱いが継続する限り、 改正後 の 法第 24 条第 3 項に基づく 措置等を講ずる 必要があり、かかる 義務は、 提供元の 事業者と 当該 第三者との間の契約 等 が解除された場合でも、免除されるものではありません。契約等 を解除した 後の 対応については、 個別の事案ごとに判断する必要がありますが 、 契約 等の 解除後 に 改正後 の 法第 24 条第 3 項に基づく 措置等を講ずることが 困難 となる場合 には、あらかじめ当該契約等において、提供先 の第三者 に対し、解除がなされた場合の個人データの返還又は削除を義務付け ておく ことが考えられます。
No.144 Q 監査は必須ではない
【意見】
書面での確認だけでよいのか、何らかの監査の実施は不要か確認したい。
A
一般論 として、相当措置の実施 状況について 書面による 報告を受けて確認する方法も、 適切かつ合理的な方法に該当し得る と 考えられます 。
水町感想
一般論としては書面確認だけで良いとの回答。
No.145 Q 報告を求めるべき内容
「確認」の方法として一番現実的なのは、提供先から書面による報告を受
けることであると思われるが、その内容が改正案で十分に示されておらず、
提供先にどのような照会をし、どのような報告を受けるべきかが明確ではな
いためである。
A
書面 によりどのような報告を 求める べきかについては 、 個別の事案ごとに判断する必要がありますが 、 例えば 、 提供元の 事業者が、 提供先 の外国にある第三者との間 で 契約 を 締結することにより当該提供先の基準適合体制 (法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基 準に適合する体制) を整備している場合には、 当該 契約の履行状況(履行に問題が生じた場合の当該問題の内容 や それに 対 して 講じた対応策等 を 含む。)について 、報告を求めることが考えられます。
No.147 Q 共通適用されるプライバシーポリシーの履行状況の確認でも可
「相当措置の実施状況の確認」として、同一の企業グループ内で個人デー
タを移転する場合において、提供元(日本)および提供先(外国)に共通し
て適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整
備している場合、たとえば、欧州域内に所在するグループ会社のデータ・プ
ライバシー・オフィサーが各グループ企業のプライバシーポリシーの履行状
況を確認し、その確認結果を日本の提供元が確認することにより、相当措置
の実施状況を確認したとすることは可能か確認したい。
A
同一の企業グループ内で個人データを移転する場合において、提供元及び提供先に共通して適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整備している場合 において、 他のグループ会社が 当該 提供先 による当該 プライバシーポリシーの履行状況を確認している場合は、 当該 確認結果を確認する方法も、 当該 提供先による 相当措置の実施状況についての 適切 かつ合理的 な方法による 確認に該当すると考えられます。
水町感想
そりゃそうだろう。形骸化しているとかの特殊事情がない限り、Qにあるようなことができれば良いでしょう。
No.149 Q 内部監査結果の確認でも可。外部監査人による監査も可。
<意見・理由>
定期的な確認については、「外国にある第三者に提供する個人データの内容や規模に応じて、適切かつ合理的な方法により確認する必要があるが、例えば、個人データを取り扱う場所に赴く方法、書面により報告を受ける方法又はこれらに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられる。」とあるが、
①「日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合」において、提供する個人データの内容や規模によっては、外国親会社の内規に基準適合体制が構築されているといえるだけの規則があるのであれば、外国親会社における情報管理部署において内部点検が機能しており、また内部監査部門における監査が有効に機能していることの、個人データの提供元である日本の個人情報取扱事業者(以下「提供元」)における口頭での確認のみによっても、ここにいう相当措置の実施状況に関する確認となりうるという趣旨と解してよいか。
②「個人データを取り扱う場所に赴く方法、書面により報告を受ける方法又はこれらに代わる合理的な方法(口頭による確認を含む。)」には、例えば次のような方法で報告を受ける場合も含まれうるか。なお、いずれも報告結果については提供元において内容を精査し、必要な場合には追加での確認を依頼するか、または提供元自身で確認することを前提とする。
(ア)提供元の委託に基づき、外部の監査人または提供元の外国親会社もしくはその子会社の従業員が個人データを取り扱う場所に赴いて調査し、書面または口頭で提供元に報告する方法
(イ)提供元と提供先との間で合意した外部の監査人が個人データを取り扱う場所に赴いて調査し、書面または口頭で提供元に報告する方法
A
① 個別 の 事案 ごとに判断されますが、例えば、 内規 等により 提供先 の第三者が 基準適合体制 (法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制)を 整備している場合に、 当該 提供先において 当該内規等 の 遵守状況に関する 内部 点検が行われている場合には、 当該点検の結果を確認することも、 当該 提供先による 相当措置の実施状況についての 適切 かつ合理的な方法による 確認に該当すると考えられます 。
ただし、提供元の事業者は、 当該 提供先 による相当措置の実施状況を 確認 する必要があることから、 内部 点検が 適切 に 行われている ことのみ を確認する に とどま り、点検 の内容 等についての確認を行わない場合には、 当該 提供先による 相当措置の実
施状況についての 適切 かつ合理的 な方法による 確認 には 該当しないと考えられます。
② 個別 の 事案 ごとに判断されますが、御指摘の よう な 場合についても、 提供先による 相当措置の実施状況についての 適切 かつ合理的 な方法による確認に該当すると考えられます 。
水町感想
点検内容まで確認する必要がある。
同意
No.71 Q 外国法制度が新設・変更された場合に同意の取り直しまでは原則不要
外国における個人情報の保護に関する制度が新たに制定・改正された場
合、または、当該外国に所在する個人データの提供先である第三者に対する
法の適用等に変更があった場合で、利用目的については変更がない場合、従
前本人から取得していた同意の有効性に影響はあるのか、ご記載いただきた
い。
利用目的に変更はなく、外国の制度等に変更があった場合に、同意を取り直
す必要があるのか、あるいは、同意を取り直さなくても良い範囲がどこまで
なのか(我が国の法との間の本質的な差異に変更がなければ良いのか等)、詳
細にご記載いただきたい。
A
「 外国に おける 個人情報の保護 に関する 制度に 関する情報 」 は、一般的な注意力をもって適切かつ合理的な方法 により確認したものである必要がありますが、「外国にある 第三者 への 個人データの提供を認める 」旨の本 人の 同意を 取得した 後 に、 当該 外 国における個人 情報 の保護に関する制度についての 変更 があった場合であっても 、 既に 取得 された 同意の有効性には影響を及ぼさないものと考えられます。
もっとも、個別 の事案ごとに判断されますが、 例えば、当該 外国における個人情報 の保護に関する制度 について、 我が国の法との間の本質的な差異の認識に 影響 を及ぼ す ような 重要 な変更が なされたことを提供元 の事業者が認識した場合には 、 本人 に情報提供する ことが望ましいと考えられます
外的環境の把握
No.461 Q 外的環境の把握として求められることは、国名公表だけではなく安全管理措置の内容も
「外的環境の把握」について、事業者に求められる内容をより具体的に示すべき。
A
外国において個人データを取り扱う場合には、当該外国の名称とともに 保有個人データの安全管理のために 講じた措置について、本人の知り得る状態に置く必要があります 。 安全管理措置は、事業の規模及び性質、保有個人データの取扱状況等に起因するリスクに応じて、必要かつ適切な内容としなければならず、その内容は事業者によって異なりますので、一律にはお答えしかねます。
No.456 Q 一般的な事項を公表し、あとは本人の求めに応じて回答でも良い
委託先の追加・変更等に伴い当該外国が適宜追加変更となる場合 、都度ホームペー
ジ改訂に一定の時間を要する可能性があることから、本人から問い合わせがあれば開示するということでもよいか確 認したい。
A
本人の知り得る状態は、本人の求めに応じて遅滞なく回答する場合を含みます。したがって、一般的に、保有個人データの 安全管理のために講じた措置の概要をホームページに掲載し、 その 具体的な内容については、本人の求めに応じて遅滞なく回答 する といった対応も可能と考えられます。
No.455 Q 一般的な事項を公表し、あとは本人の求めに応じて回答でも良い
保有個人データに係る「本人の知り得る状態に置く」事項に関し、 WEB サイトにおいて安全管理措置以外については記載した上で、安全管理措置については「法令及びガイドラインに従い、使用状況に応じた安全管理措置を講じておりますが、具体的な内容を知りたい場合はこちらにご連絡ください」として請求先を示すだけとし、請求に応じて具体的な内容を遅滞なく通知するという形をとることは差し支えないでしょうか。
A
本人の知り得る状態は、本人の求めに応じて遅滞なく回答する場合を含みます。
したがって、一般的に、保有個人データの 安全管理のために 講じた措置の概要を ホームページ に掲載し、 その 具体的な内容については、本人の求めに応じて遅滞なく回答 する といった対応も可能と考えられます。
No.456・459 A 従業者・委託先監督も安全管理措置に含める
No.459 Q
「安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」について、仮に委託先における措置も含む場合には事業者に求められる内容を具体的に示すべき。
No.456 A
御理解のとおり、法第21 条及び法第 22 条の規定によ り講じた 措置についても、法第 20 条の規定により保有個人データの安全管理のために講じた措置 として、本人の知り得る状態に置かなければなりません 。
No.462 Q 外国名称は公表義務あり、外国制度は公表義務はないが公表が望ましい
1・2 外国の名称や外国の制度は公表する義務があるのか?(質問意図を水町にて申し訳ありませんが勝手に要約)
A
事業者は、外国において個人データを取り扱う場合には、当該外国の制度等の外的環
境に起因するリスクを把握し た上で 安全管理措置を講じる必要があります。そして、事業者は、法第 27 条第1項第4号・ 改正後の施行令第 8 条第 1 項により、 外国において個人データを取り扱う場合には、 前提として、当該外国の名称を明らかにした上
で、 保有個人データの安全管理のために講じた措置を 本人の知り得る状態に置く必要があります。 当該外国の制度については、必ずしも明らかにする必要はないですが、本人の適切な理解と関与を促す観点から、当該外国の名称とともに、 本人の知り得る
状態に置くことが望ましい といえます 。
No.462・470 Q 外国名称は正式名称でなくても良い
3 仮に「外国の名称」についての公表が法的義務になる場合、台湾に個人データを保管しているときには、「中華人民共和国」「 台湾」「中華民国」「中華人民共和国 台湾省」のいずれの公表方法を選択するかは、個人情報取扱事業者が合理的に判断して決定してよいとの理解でよいか確認したい。
A
外国の名称については、本邦の域外にある国又は地域として、本人が合理的に認識で
きると考えられる 形で情報提供を行う 必要があります。
No.462 Q 支店・駐在員事務所・データセンタ国、全て概して公表要
4 仮に「外国の名称」についての公表が法的義務になる場合、ある日本法人が、海外に支店( A 国)、駐在員事務所( B 国)、データセンタ( C 国)を有しており、それらにおいて日本の個人情報保護法が適用される「個人データ」を保管しているとき
には、「所在国( A 国、 B 国、 C 国)」を明示すれば、公表義務を果たしたことになるとの理解でよいか確認したい。
A
個別の事案ごとに判断することとなりますが、一般に、外国にある支店や事務所に個
人データを取り扱わせる場合、外国にあるデータセンターで個人データを保存する場
合には、外国において個人データを取り扱うこととなるため、当該外国の名称ととも
に 保有個人データの安全管理のために 講じた措置について、本人の知り得る状態に置く必要があります。
No.462 Q 委託を除く海外提供については概して法27対象外
5 仮に「外国の名称」 についての公表が法的義務になる場合、ある日本法人 X 社が、海外に子会社( D 国)を有しており、日本から当該子会社に日本の個人情報保護法が適用される「個人データ」を提供しているときには、「所在国( D 国)」を明示すれば、 X 社は個人情報保護法 27 条 1 項に基づく「外的環境」についての公表義務を果たしたことになるとの理解でよいか確認したい。
A
個別の事案ごとに判断することとなりますが、一般に、 A社 が、 外国の法人格を取得している A社 の 現地子会社 B社 に個人データを提供したとしても、B社 に対して個人データの取扱いを委託している場合を除き、 A社 は 外国において個人データを取り扱うこととはならないため 、法第 27 条第1項第4号・ 改正後の施行令第 8 条第 1 項により、 B社が所在する 外国の名称について、本人の知り得る状態に置く必要はないと考えられます。
なお、 B社 が、改正後の法第 24 条第1項の「外国にある第三者」に該当する場合、 A社 は、個人データを B社 に提供するにあたっては、改正後の法第 24 条の規定により、同意の取得時に、 B社が所在する外国の名称 等について、本人 に 情報提供を
行うこと等が求められます。
No.462 Q 海外委託先への提供については法27の公表要
6 仮に「外国の名称」についての公表が法的義務になる場合、ある日本法人 X 社が、海外( E 国)に所在する業務委託先に対し、日本の個人情報保護法が適用される「個人データ」を提供しているとき には、 X 社は「所在国( E 国)」を明示すれば、個人情報保護法 27 条 1 項に基づく「外的環境」についての公表義務を果たしたことになるとの理解でよいか確認したい。
A
個別の事案ごとに判断することとなりますが、一般に、外国にある委託先に個人デー
タを取り扱わせる場合、外国において個人データを取り扱うこととなるため、当該外
国の名称とともに 保有個人データの安全管理のために 講じた措置について、本人の知り得る状態に置く必要があります。
No.462・469 Q EU/英であっても法27の公表要
7 仮に「外国の名称」についての公表が法的義務になる場合、日本が十分性認定をしている EU や英国に関しては、個人情報保護・プライバシーの観点から適切な環境であると日本国政府が判断している以上、「外的環境」として EU および英国については公表しなくてよいとの理解でよいか確認したい。
8 上記 7 について、仮に EU も「外的環境」として公表する義務がある場合、個々の E U 加盟国を個々に特定して公表せず、「 EU 」とのみ公表すれば、公表義務を果たしたことになるとの理解でよい か確認したい。
A
7 事業者は 、EU及び英国において個人データを取り扱う場合においても、当該外国の名称とともに 保有個人データの安全管理のために講じた措置について、本人の知り得る状態に置く必要があります。
8 外国の名称については、本邦の域外にある国又は地域として、本人が合理的に認識できると考えられる 形で情報提供を行う必要があり ます 。
No.463 Q 事業承継に伴う海外移転
A
一般に、事業の承継に伴って個人データを外国にある第三者に提供したとしても、提供元は外国において個人データを取り扱うこととはならないため、 法第 27 条第1項第4号・ 改正後の施行令第 8 条第 1 項により、当該外国の名称について、本人の知り得る状態に置く ことが 必要 となるわけではありません 。
ただし、当該提供先が、改正後の法第24 条第1項の「外国にある第三者」に該当する場合、提供元は、個人データを当該提供先に提供するにあたっては、改正後の法第 24 条の規定により、同意の取得時に、提供先 の 第三者が所在する 外国の名称 等について、本人 に 情報提供を行うこと等が求められます。
No.464 Q 再委託先が外国の場合に法27公表が必要かどうかは答えられないものの必要か?
以下のいずれにおいても、日本法人 X 社は、その個人データの取扱いの全部又は一部を Y 社に委託し、 Y 社は、当該取扱いの全部又は一部を、 Z 社に委託している。
(1)Y 社は日本法人であり、 Y 社による個人データの取り扱いは日本で行われる。他方、Z 社はA国法人(A国の会社法に基づき設立された法人)であり、個人データの取扱いもA国において行われる。そして、Z 社の法人設立国及び個人データの取扱いを行う場所がいずれも A 国であることを X 社は知った上で、 Y 社が Z 社に委託を行うことにつき、 X 社は事前に Y 社に同意を与えている。
(2)Y 社はA国法人であり、 Y 社による個人データの取り扱いはA国で行われる。
他方、Z 社はB国法人であり、個人データの取扱いもB国において行われる。そして、Z 社の法人設立国及び個人データの取扱いを行う場所がいずれもB国であることを X 社 は知った上で、 Y 社が Z 社に委託を行うことにつき、 X 社は事前に Y 社に同意を与えている。
(3)Y 社は日本法人であり、 Y 社による個人データの取り扱いは日本で行われる。他方、Z 社はA国法人であり、個人データの取扱いもA国において行われる。X社は、Y社に対して、個人データの取扱いの全部又は一部の再委託につき、X社・Y社間の委託契約において、X社と同等以上の安全管理措置を採る再委託先への包括的な事前同意を与えている。そこで、Y社はX社から事前に個別同意を得ず、Z社を再委託として選定し、Z社に個人データの取扱いの 全部又は一部を委託している。
(4)Y 社はA国法人であり、 Y 社による個人データの取り扱いはA国で行われる。他方、Z 社はB国法人であり、個人データの取扱いもB国において行われる。X社は、Y社に対して、個人データの取扱いの全部又は一部の再委託につき、X社・Y社間の委託契約において、X社と同等以上の安全管理措置を採る再委託先への包括的な事前同意を与えている。そこで、Y社はX社から事前に個別同意を得ず、Z社を再委託として選定し、Z社に個人データの取扱いの全部又は一部を委託している。
A
個別の事案ごとに判断することとなるため、一律にはお答えしかねます。
なお、一般に、外国にある委託先又は再委託先に個人データを取り扱わせる場合 には 、外国において個人データを取り扱うこととなるため、当該外国の名称とともに 保有個人データの安全管理のために 講じた措置について、本人の知り得る状態に置く必要があります。
No.465 Q 外国において「個人データを保管している」とは?外国支店や外国委託先が日本のサーバにアクセスする場合も法27の公表要
外国において「個人データを保管している」とは、どういった場合を指すか。日本に所在する法人の支店や所有物件など、日本の個人情報取扱事業者が直接保管する場合や、基準適合体制を整備した委託先事業者が外国で取り扱う場合でも対象となるか。また、日本に置かれたサーバーに外国からアクセスするだけの場合は対象とならないということでよいか。
A
個別の事案ごとに判断することとなりますが、一般に、外国にある支店や委託先に個人データを取り扱わせる場合には、外国において個人データを取り扱うこととなるため、当該外国の名称とともに 保有個人データの安全管理のために 講じた措置について、本人の知り得る状態に置く必要があります。
また、一般に、外国にある 支店 や 委託先に個人データを取り扱わせる場合、その取扱いの対象となるデータが日本にあるサーバに保存されていたとしても、外国において個人データを取り扱うことに変わりはないため、当該外国の名称とともに保有個人データの安全管理のために講じた措置について、本人の知り得る状態に置く必要があります。
No.471 Q 外国出張先等で個人データを取り扱う場合も外的環境の把握が必要な場合がある
以下のいずれの場合についても、日本法人X社は、A国の名称を法第27条第1項第4号に基づき、公表する義務があるとの理解でよいか。
(1)X社の従業者Yは、X社の海外子会社Z社(所在国:A国)に常時駐在している。X社とYの間の雇用契約は維持されたまま、YはZ社に出向しているという契約関係にある。そして、Yは、X社の従業者として、X社から貸与されたPCやスマートフォンを用いて、X社の保有する個人データにアクセスすることが Z 社からでも可能であり、現にアクセスをしている。
(2)X 社の従業者 Y は、月に数回、定 期的に海外出張を行う。主な出張先は取引先の Z 社(所在国: A 国)である。そして、Yは、X社の従業者として、X社から貸与されたPCやスマートフォンを用いて、海外出張中もX社の保有する個人データにアクセスしている。
(3)X 社の従業者 Y は、数年に1回程度の頻度で、海外出張を行うことがある。出張するとすれば、出張先は A 国である。そして、Yは、X社の従業者として、X社から貸与されたPCやスマートフォンを用いて、海外出張中もX社の保有する個人データにアクセスしている。
A
個別の事案ごとに判断することとなるため、一律にはお答えしかねます。なお、一般に、従業者が外国に出向又は出張等する場合においても、その個人データの取扱状況
等によっては、外国において個人データを取り扱うものとして、当該外国の制度等を把握した上で安全管理措置 を 講ずべき場合 があるのであり、かかる場合には、当該外国の名称とともに 保有個人データの安全管理のために 講じた措置について、本人の知り得る状態に置く必要があります。
No.467 Q ガバメントアクセス可能国ではどうしたらよいかは不明
具体の例として、当該国の制度上、国がそのデータを見得る場合、例えば、権限を有しない者による個人データの閲覧を防止する措置は具体的にどのようにすればよいか。
A
安全管理措置は、事業の規模及び性質、保有個人データの取扱状況等に起因するリスクに応じて、必要かつ適切な内容としなければならず、その内容は事業者によって異なるため、一律にはお答えしかねますが、 例えば、事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度が存在する場合には、当該制度も踏まえて安全管理措置を講じることが必要になると考えられます。
