ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

ふるさと納税おすすめ

最近、個人情報保護法2020年改正の講演資料作成と原稿作成ばかりをずーーーっとやっていて、息抜きが必要なので、ふるさと納税について書きたいと思います。

 

ふるさと納税サイトのランキングを見ていると、お肉、魚介、フルーツが人気です。ただなかなか冷凍庫にも入る量に限度がありますし、冷蔵や常温のものでも大量に来るとかなり食べきるのに困りそうです。

 

そこで私は、最近は、まるで関市の大ファンですかというように、関市の刃物ばかり買っています。貝印もあるので、関市で刃物買っておけば、良い品が送られてきます。すっかり「関孫六Loverですか」状態です。

 

1.包丁

www.furusato-tax.jp

包丁も結構高級ですよね。ふるさと納税で返礼してもらえるとうれしいです。ちなみに去年これ返礼してもらいました。

 

2.包丁砥ぎ

www.furusato-tax.jp

包丁を砥ぐものも古くなっていたので、関市に寄付して返礼品としていただきました。ちなみにこれは今年いただきましたが、砥ぎ味もよくて、簡単なので、もっと早くゲットしておいた方が良かったかもしれません。

 

3.キッチンバサミ

www.furusato-tax.jp

キッチンバサミも古くなっていたので、今年また関市に寄付して返礼品としていただきました。ここまで来ると、どこまで関市好きなんだ、貝印ラバーなのかみたいな感じですが。

ちなみにもう少し大きい貝印のキッチンバサミもふるさと納税返礼品として出ています。

 

4.カットバサミ

www.furusato-tax.jp

前髪が下がっていないと気に入らないタイプなので、最近はこまめに自分で切ることにしています。コロナで美容院に行く頻度も減っているので、前髪を自分で切れると快適です。これまでは文房具のはさみで前髪を切るという暴挙をしていましたが、せっかくなのでふるさと納税で。

 

5.スライサー

www.furusato-tax.jp

www.furusato-tax.jp

スライサー、関孫六と京セラで迷いましたが、京セラにしました。関市推し、貝印ラバーとしては関孫六を選択すべきだったかもしれませんが、なんとなく京セラに。

 

このほか、ピーラー、爪切り等もあったはずです。小さ目の包丁とかもありますし、刃物といえば関孫六で間違いないでしょう。

ちなみに関市(※近江八幡市の間違いでした。関市の印象がつよすぎてすべて関市に見えてくるという勘違い)から返礼品カタログが郵送されてくるんですが、それの表紙と最初の方のページが近江牛なんですよ。あまりの美味しそうな写真に、見ているだけで卒倒しそうです。

 

ふるさと納税と言えば、印傳も欲しいのですが、デパートほど種類が前は出てなかったんですよね。長財布がすごく薄くて軽いのに量入るので買いたいのです。あと昔、職印ケースとして印傳使ってましたね。そして今、名刺入れに印傳使ってますが、全部、山梨で買ったか東京のデパートで買ったかって感じですね。印傳もふるさと納税で見てみようかと。

 

去年、うっかり限度額をオーバーしてしまったので、今年は控えめにしようと、結局夏ぐらいまで寄付しませんでした。去年は消費税納税額が増えたので、経費が上がっていたのですがそれに気づかず、またコロナで売り上げが落ちていて、それは把握していたはずだったのに、何か計算間違いしてしまい、限度額をオーバーしてしまいました。

 

今年は、お米、ビール、関市の刃物以外は、ホタテと鮭加工品を返礼品でいただきましたが、ホタテ1キロはやはりかなり多いですね。

匿名加工情報と仮名加工情報の違い

※1(2)ウを2021.9.29追記、1(5)を2021.10.19追記

※今、法律雑誌に寄稿する個人情報保護法2020年改正の論文を執筆中です。書いてみたところ、大幅に字数オーバーしそうなので、寄稿論文からは削除せざるをえなそうです。せっかく書いた文章ですので、削除する前に、ブログに貼っておきたいと思います。ちょっと尻切れトンボかもしれませんし、また見直ししていない状態なので不正確な点があったら申し訳ありません…。

 

はじめに

 2020年改正個人情報保護法では、「仮名加工情報」「個人関連情報」という新しいカテゴリが設けられた。「仮名加工情報」とは、個人情報に一定の加工を加えて作成するもので、通常の個人情報よりも内部利用等が容易になるという規制緩和の一環で新設されたカテゴリである。「個人関連情報」は、提供元にとっては個人データに当たらないものでも提供先において個人データとなる場合に提供規制が強化されるもので、リクナビ事案等を踏まえて新設された。以下それぞれについて詳述する。

 

1 仮名加工情報

(1)目的・背景

 個人情報を取り扱う際は、本人のプライバシー権その他の権利利益を保護するために、個人情報保護法等に基づく各種規制に服さなければならない。他方で、現代社会においては個人情報利活用のニーズも高まっており、プライバシー権等の保護と個人情報利活用の両立を図るための制度が模索されてきた。

2017年改正個人情報保護法(現行法)は、この観点から「匿名加工情報」というカテゴリを設け、個人情報を法定の加工基準で匿名加工した場合に、規制が大幅に緩和され、内部利活用や外部提供が容易にした。しかし、「匿名加工」は一般の想像よりもはるかに基準が厳しく、法定の加工基準を満たすことが難しい場合も散見された。また個人情報に対する法規制が厳格なEUにおいても、「仮名化」を行うと若干緩やかな取扱いが認められ、国際的にもその活用が進みつつある[1]

そこで、2020年改正個人情報保護法では、個人情報と匿名加工情報の中間形態ともいえる「仮名加工情報」を新設し、通常の個人情報よりも規制を緩和した。

 

(2)加工基準

ア 3つの観点からの加工

仮名加工情報を作成するためには、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準を遵守する必要がある(35条の2第2項)。具体的には、①氏名等の削除、②マイナンバー等の個人識別符号の削除、③不正利用により財産的被害が生じるおそれがある記述等の削除の3点を行えばよい(個人情報保護法施行規則18条の7)。

①は氏名だけではなく、住所、生年月日、性別等のほか、その情報単体や組み合わせることで特定の個人を識別できる記述等を全て削除する必要がある。

②の個人識別符号は、個人情報保護法2条2項で定義されており、身体特徴系符号(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして施行規則で定める基準に適合するもの)と番号系符号(マイナンバー、旅券番号、基礎年金番号、免許証番号、住民票コード、各種保険証の番号等の公的機関が割り振る番号)を指す。

③の例としては、クレジットカード番号や送金や決済機能のあるウェブサービスのログイン ID・パスワード等[2]が挙げられる。これに対し、口座番号やクレジットカード番号の下4桁は、不正利用されても直ちに財産的被害が生じるおそれがあるとはいえないため、削除しなくても必ずしも違法とはいえないとされている[3]

なお、①②③とも、削除ではなく置き換えでも良いが、元の記述等を復元できる規則性を有しない方法で置き換えなければならない。例えば②について、マイナンバーを元の記述に1を足した数とするなどの規則性のある方法で置き換えることは許されない。

 

イ 匿名加工情報との差異

仮名加工情報の加工基準は上記の通り比較的容易なものである。これに対し、匿名加工情報の加工基準は厳格で、加工の難易度が高い。具体的に述べると、①氏名等の削除、②個人識別符号の削除は仮名加工情報と匿名加工情報で共通であるが、それ以外の加工基準が異なる(図表1参照)。仮名加工情報の場合、①②以外には、③不正利用により財産的被害が生じるおそれがある記述等の削除のみが求められるが、匿名加工情報の場合は、仮名加工情報で求められる③不正利用により財産的被害が生じるおそれがある記述等の削除は不要である代わりに、③‘情報を相互に連結する符号の削除、④特異な記述等の削除、⑤適切な措置が求められる。特に④特異な記述等の削除、⑤適切な措置が難しい場合が多い。  

④は、特異な情報が存在すると誰の情報かわかる場合があるため、設けられた加工基準である。例えば、カルテ情報を匿名加工するとした場合、患者の年齢が116才のカルテがあった場合、「116才」を「90才以上」などと特定できないように加工することが必要となる。もっとも年齢116才が特異であることはわかりやすいし、「116才」を「90才以上」などに加工することも容易である。これに対し、「難病のため首相を辞任」等の情報は特異で誰の情報かわかりうる記述だが、機械的にこのような特異な記述を検索することも難しく、機会による加工に向きづらい。

⑤は、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること」(施行規則19条5号)が求められるが、何をもって適切な措置であるのかが極めて難しい。

このように匿名加工情報の加工基準は非常に厳格であり、ある意味曖昧な基準であり、企業が適法に匿名加工情報を作成するのは難しい場合も散見された。これに対し仮名加工情報の加工基準は明瞭であり、どのような技術力の企業でも、比較的容易に作成できるものと考えられる。

 

図表1 仮名加工情報と匿名加工情報の加工基準の差異

f:id:cyberlawissues:20210927141938p:plain

 

ウ 仮名加工情報作成の課題

もっとも、仮名加工情報の作成に当たって法的な課題もある。仮名加工情報を作成するためには、個人情報保護委員会規則で定める基準を遵守する必要がある(35条の2第2項)が、この基準を遵守しても、「誰の情報かわかる」=他の情報と照合しなくても特定の個人を識別することができる場合があるのではないかという点である。

この点、「他の情報」とは何か、「照合」とは何かも論点となってくる。

 

すなわち、上記基準では、①氏名等の削除、②マイナンバー等の個人識別符号の削除、③不正利用により財産的被害が生じるおそれがある記述等の削除の3点を行えばよいとされている(個人情報保護法施行規則18条の7)が、この3点を行っても、他の情報と照合しなくても特定の個人を識別することができる場合があるのではないかということである。

 

例えば、カルテ情報を仮名加工するとした場合、「難病のため首相を辞任した」という記述や、「東京ドームで試合中に、時速150キロのボールが頭部に直撃」といった記述は削除しなくてよいのかという問題が考えられる。

これは匿名加工基準で言えば、①特定の個人を識別することができる記述等の削除、ではなく、④特異な記述等の削除で対応していたのではないかと考えられるが、匿名加工基準と違い、仮名加工基準では④特異な記述等の削除が求められない。

しかし、「難病のため首相を退陣した」という事実や、「東京ドームで試合中に時速150キロのボールが頭部に直撃」といった事実(私が考えた仮の設定だが…)だけでも、誰の情報かわかるのではないかと思われる。

 

この点、仮名加工情報は、「他の情報と照合しない限り特定の個人を識別することができな」ければ良いので、照合すれば誰の情報かわかっても、照合しなければわからない状態であれば、法2条9項の法律上の要件を満たす。

「他の情報」とは何か、「照合」とは何かも論点となってくると思われる。

 

「難病のため首相を退陣した」という事実は、

・「記憶」という「他の情報」と「照合」すれば、誰の情報かわかると考えるのか、

・それとも「記憶」は「他の情報」ではない又は仮に「他の情報」に該当したとしても頭の中で瞬時にわかってしまうものは「照合」とはいえないとして、「難病のため首相を退陣した」という情報単体でもって、誰の情報かわかると考えるのか、である。

 

「新聞報道」などの他の情報と照合しなければ誰の情報か分からない場合は、これは、「他の情報」と「照合」することで、特定の個人を識別することができなくなっていると言えるだろう。しかし別にわざわざ新聞報道などと照合することもなくわかってしまう場合、それはその人の「記憶」と「照合」しているといえるのか。「記憶」は「他の情報」として取り扱うのか、「照合」とは何をいうのかという問題をはらんでいると思われる。

また、このような「難病のため首相を退陣した」という記述は、匿名加工記述の④特異な記述等ではなく、①特定の個人を識別することができる記述等に当たり、匿名加工情報の加工基準であるだけではなく仮名加工情報の加工基準でもあるので、施行規則18条の7第1号に基づき対応せよという論も取れなくはないだろう。しかし、もしその論を取るとすると、では、①特定の個人を識別することができる記述等と④特異な記述等の差異は何かという問題が新たに勃発するとともに、仮名加工情報も匿名加工情報と同じ程度とまではいわないにしても、加工がとても難しくなるだろう。

 

なお、「記憶」についても「合理的通常の一般人」であれば覚えている記憶と、特定の人のみ覚えている記憶で変わってくるとは思われるが、「難病のため首相を退陣した」という記述は少なくとも、今は、「合理的通常の一般人」であれば覚えている記憶と言えると思われる。

 

匿名加工情報のガイドラインでは、特異な記述等について、以下のような説明を設けており、このガイドラインに沿うと、やはり「難病のため首相を退陣した」という事実や「東京ドームで試合中に時速150キロのボールが頭部に直撃」といった事実は、特異な記述等に当たりそうである。

https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/#a3-2-4

一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものである。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければならない。

ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要がある。

 

(3)仮名加工情報による規制緩和

仮名加工情報で規制緩和される点は3点ある。すなわち、①利用目的の変更が自由に行える、②漏えい報告義務がない、③開示請求、訂正等請求、利用停止請求等の対応が不要になる点である。

①について、個人情報の場合、予め特定した利用目的の範囲内で目的内利用することが法律の原則である(個人情報保護法16条)。利用目的の変更も可能ではあるものの、変更範囲に制約があり(個人情報保護法15条2項)、現実的には変更がしにくい状況が続いていた。この点、仮名加工情報であれば、利用目的の変更に制限がないため(個人情報保護法35条の2第9項にて15条2項が適用除外)、あらかじめ特定した利用目的の範囲外でも自由に内部利用できる。もっとも、利用目的の変更を行った上で、変更後の利用目的を公表することが必要である(個人情報保護法35条の2第4項にて読み替えて適用される18条3項)。なお、利用目的の変更に制約はないものの、仮名加工情報に含まれる情報を使って、電話、郵便、FAX、電報、電子メール、SMS、住居訪問等をすることは禁止されている(個人情報保護法35条の2第8項)。

 ②については別稿の通り、2020年個人情報保護法改正により、個人データの漏えい等時には当局報告・本人通知が義務付けられたが、仮名加工情報の場合は漏えい等しても仮名化されているため、当局報告も本人通知も不要である(個人情報保護法35条の2第9項にて22条の2が適用除外)。

 ③についても別稿の通り、本人の権利を保障するため、本人から一定の請求があれば保有個人データについて開示・訂正・利用停止に対応する法的義務がある。しかし仮名加工情報の場合は、これらの義務が課されていない(個人情報保護法35条の2第9項にて27条から34条までが適用除外)。

 

(4)仮名加工情報に対する規制

 仮名加工情報は、個人情報に該当する場合と該当しない場合がある。もっとも仮名加工情報作成者は、仮名加工情報だけでなく、仮名加工情報の作成の元となった個人情報や削除情報等を保有し続ける場合が多く、その場合は当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合が多く、個人情報に該当する場合が多いものと考えられる。以下は、個人情報に該当する仮名加工情報に対する規制について述べ、紙幅の都合上、個人情報に該当しない仮名加工情報については割愛する。

仮名加工情報は原則として第三者提供が禁止されている。外部提供できるのは、①法令に基づく場合、②委託、③合併等の事業承継、④共同利用の場合のみである(個人情報保護法35条の2第6項)。この点が匿名加工情報との明確な差異であるので、十分注意する必要がある。

 また、仮名加工情報は対象者(本人)を識別するために他の情報と照合することも禁止されている(個人情報保護法35条の2第7項)。この照合禁止義務は匿名加工情報と同様である。

 また仮名加工情報であっても、不適正利用の禁止(個人情報保護法16条の2)、適正取得(個人情報保護法17条1項)、安全管理措置(個人情報保護法20条)、従業者監督(個人情報保護法21条)、委託先監督(個人情報保護法22条)は引き続き適用されるし、利用する必要が亡くなった場合の消去(個人情報保護法35条の2第5項)及び苦情処理個人情報保護法35条)の努力義務も適用される。

(5)個人情報、匿名加工情報、仮名加工情報に対する規制の差異

個人情報(個人データ/保有個人データ)の場合は、個人情報保護法の規制がそのまま適用されるが、匿名加工情報、仮名加工情報になると原則として規制が緩和される。匿名加工情報は加工が難しいものの、内部利用も第三者提供も安全管理も簡便に行える。仮名加工情報は加工が比較的簡易であり、内部利用も簡便に行えるが、安全管理は概して個人情報並みのものが求められ得るし、第三者提供は個人情報よりも難しい(以下の図参照)。

f:id:cyberlawissues:20211019113136p:plain

f:id:cyberlawissues:20211019113147p:plain

f:id:cyberlawissues:20211019113155p:plain

2 個人関連情報

 個人データの外部提供は規制されているが、提供情報が個人データかどうかを巡って、現行法及び当局解釈では規制に穴が生じ得る場合が存在した。提供情報が個人データかどうかは、提供元を基準に判断される(提供元基準説)。そのため、図表2の場合は提供情報が提供先にとっては個人情報でなくても、個人データの提供に該当し規制に服することになる。これに対し図表3の場合は、提供情報が提供先にとっては個人情報であっても、個人データの提供に服さないとも考えられる。実際にリクナビ事案では、図表3に類似するスキームが採用されていた[1]

 そこで2020年改正個人情報保護法では、「個人関連情報」というカテゴリを新設し、提供元にとって個人情報でなくても提供先において個人データとして取得することが想定されるときは、法令に基づく場合等の個人情報保護法23条1項で認められた場合を除き、提供元に、本人の同意が得られていること等を確認する義務が課せられた(個人情報保護法26条の2第1項)。

 

図表2 提供元基準説

f:id:cyberlawissues:20210927150512p:plain

図表3 提供元基準説の問題点

f:id:cyberlawissues:20210927150520p:plain



[1]   https://www.recruit.co.jp/r-dmpf/05/

[1] 個人情報保護委員会個人情報保護法いわゆる3年ごと見直し制度改正大綱」(令和元年12月13日)21ページ https://www.ppc.go.jp/files/pdf/200110_seidokaiseitaiko.pdf

[2]個人情報の保護に関する法律についてのガイドライン令和3年8月2日(仮名加工情報・匿名加工情報編)11ページ https://www.ppc.go.jp/files/pdf/210802_guidelines04.pdf

[3]個人情報の保護に関する法律についてのガイドライン」に関するQ&A令和3年9月 10 日更新 Q14-8  https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

個人データの外国提供についてのパブコメ(No,1-54,136-183)

今、ちょこちょこ個人情報保護法改正ガイドラインパブコメを見ているところですが、海外編パブコメNo,1-54,No,136-183までのうち気になるものについてブログに貼り付けて紹介したいと思います。

 

事業者名については貼りつけませんでしたが、Noを書いているため、原文を見れば、事業者名も公開されています。

なお、私の感想を先に書いてしまうと、やはり外国法制度調査は事業者側に過大な負荷となりうるもので、当局回答だと論理構成としてもちょっと弱いかなと思ってしまいました。外国法制度については当局調査をやってくれるとのことですので、その内容に期待したいところです。

 

 

個人情報の保護に関する法律についてのガイドライン( 外国にある第三者への提供編 )の一部を改正する告示案 」 に関する意見募集結果

総論

No.3 Q ガバメントアクセス

ガバメントアクセスが発生したことをもって、個人情報保護法違反となるのか。

A

適切な情報提供を行った上で改正後の法第 24 条第1項に基づく 本人の 同意を取得して外国にある第三者に個人データを提供した後については、当該提供先による個人データの取扱いを確認する義務はありません。そのため、当該提供先が、当該 外国の政府による個人データの提供の要請に対応したこと のみをもって提供元の事業者の法違反となる
ものではありません。

同意ではなく相当措置で海外提供した場合、当該提供先において、当該 外国の政府による要請に対応した個人データの 提供が認められるか否かは、個人データの性質や提供の必要性(外国 政府からの要請が外国の法令の要件を満たす適法なものかの確認を含 む 。 )等を踏まえた個別の事案ごとの判断が必要で あり、例えば、提供の必要性が認められないにもかかわらず、当該提供先が漫然と個人データの提供を行っている場合に
は、当該提供先による相当措置の実施に支障が生じていると評価される可能性が
あります。なお、提供元の事業者が、 当該 提供先に対して法第 23 条第5項第1号
に基づいて個人データの提供を行っている場合、 当該提供先に対する監督義務を
負いますので(法第 22 条) 、上記のように、当該提供先が提供の必要性が認めら
れないにもかかわらず、漫然と個人データの提供を行っている等の場合には、提
供元の事業者の監督義務違反となる可能性が あります。

No.4 Q 同意取得等の義務は委託元?委託先?

委託元事業者A が受託業者(国内事業) B に個人情報の取扱業務を委託し、その受託業者 B (国内事業)が法第 24 条第 1 項における外国にある受託業者 C に再委託を行った場合、法 24 条第 1 項、第 2 項の義務が課されるのは受託業者 B であり、委託元事業者 A には同条に基づく義務は課されないという理解でよいか。

A

個別の事案ごとに判断されますが、 例えば、 委託元 が国内の事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した 場合には、改正後の法第 24 条第1項及び第2項の義務 は、原則として 当該 委託先に課されると考えられ ます。 ただし、この場合でも、委託元は 当該 委託先に対する監督義務を負うため(法第 22 条)、 当該 委託先が再委託先に対して 適法に個人データの提供を行っているか等を含め、当該委託先による個人データの取扱いについて、 適切に把握し監督する必要があります。

No.32 Q 情報提供義務は委託元?委託先?
日本の事業者が他の日本の事業者に業務委託し、当該委託先業者が海外の事
業者に再委託した場合に、最初の事業者には法第 24 条 3 項は適用されないと
いう理解でよいか。

A

個別の事案ごとに判断されますが、 委託元 が国内 にある 事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、 当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した場合 に おいて 、 委託先である国内にある事業者と再委託先である外国にある事業者との間の契約等により、施行規則第 11 条の2第1号の基準を満たすための「法第4章第1節の規定の趣旨に沿った措置」の実施が確保されている場合には、 改正後の法第 24 条第 3 項の義務 は、 原則として委託先に課されると考え られ ます。 ただし、この場合でも、委託元は委託先に対する監督義務を負うため(法第 22 条)、委託先が再委託先に対して必要かつ適切な監督を行っているか等について、適切に把握し監督する必要があります。

No.5 Q 情報提供義務の前提となる対象情報の特定
情報提供義務の前提となる対象情報を本人に特定してもらうことは可能か。

A

本人がこれに応じる場合には、対象となる個人データを特定するに足りる事項の提示を求めることは可能であると考えられますが、本人に特定する義務があるわけではないことに留意が必要です
なお、事業者が本人に対して対象となる個人データを特定するに足りる事項の提示を求める場合には、改正後の法第 24条第3項の本人の求めに応じた情報提供の趣旨を踏まえ、特定に資する情報の提供その他本人の利便を考慮した適切な措置を講ずることが望ましいと考えられます。

No.6 Q 黙示の同意は原則不可?
黙示の同意でもよいか?

A

個別の事案によるが、基本は明示の同意

No.8 Q 個人情報保護法適用外国法人が、同一法人内の別の外国拠点で取り扱う場合も外国提供に非該当

「外国の法令に準拠して設立され外国に住所を有する外国法人」に個人デー
タを提供する場合であって、当該外国法人が別の外国に自己の拠点(現地の
事業所、支店、自己の従業者のリモートワーク拠点等、同一法人格内の拠
点)を有しており、当該別の外国拠点においても当該個人データを取り扱う
場合、当該別の外国拠点での個人データの取り扱いについては、当該外国法
人が本社住所を有する外国において取り扱っているものと解されるとの理解
で良いか、考え方を明確に示して頂きたい。
また、当該外国法人がその事業のために別の外国にある自己以外の拠点(当
該外国法人グループの現地法人の拠点等)においても当該個人データを取り
扱わせている場合、当該別の外国拠点での個人データの取り扱いについて
は、その目的が当該外国法人の事業のためであっても、当該別の外国拠点に
対して別途「外国にある第三者への提供」が行われるものと解されるとの理
解で良いか、考え方を明確に示して頂きたい。

A 

改正後 の法第 24 条第1項における「 第三者 」 の 該当性は、 当該第三者 が法人で
ある場合は、法人格 を 基準として 判断 します。
そのため、例えば 、 日本に ある個人情報 取扱事業者 から提供を受けた個人デー
タの取扱いについて、外国にある 事業者が改正後の法第 75 条に 基づく 域外適用の
対象 となる 場合において、当該外国にある 事業者 が別の外国に有する支店等 の 同一 法人格 内の 拠点 に 当該 個人データを取り扱わせる場合には、 改正後 の法第 24 条第1項における「 外国 にある第三者」 への 提供に該当しません。
他方 で、上記の場合において外国にある 事業者 が 、 日本以外の国に所在する自己の 子会社 等の別 の 法人格を有する 拠点に 対して 当該個人データを提供する場合には、 改正後 の法第 24 条第1項における「 外国 にある第三者」 への 提供に該当します。

契約上規定すべき外国にある第三者の義務

No.25 Q 不適正利用の禁止の「違法」は日本法違反
不適正利用の禁止(個人情報保護法16条相当)の「違法又は不当な行為」とは法(個人情報の保護に関する法律)その他の法令に違反する行為とあるが、この「法令」には当該外国にある第三者の所在国の法令を含むか。
また、当該所在国の法令が、我国(日本)の個人情報保護法に抵触する場合にも「法令」に含むものといえるのか。

A

日本の法令 をいい、提供先 の第三者 が 所在する外国の法令は 含まない ものと考えられます。

No.30 A 外国提供先における個人情報保護法24条相当の措置は?

一般論として、日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いの委託をする場面において、法第 24 条の趣旨に沿った措置の実施が確保されているというためには、 ① 当該外国にある事業者による個人データの第三者提供を禁止するか、 又は ② 当該外国にある 事業者 から更に外国にある第三者に個人データの取扱いが再委託される場合には、再委託先である外国にある第三者においても、法第4章第1節の規定の趣旨に沿った措置の実施を確保する必要があります。

同意取得時の情報提供

No.36 Q 本人が外国提供を要請した場合の情報提供義務
外国において、本人からの要請を受け、同一の外国にある第三者への個人デ
ータを提供する場合は、原則として、当該個人情報取扱事業者は、「同意取得
時の情報提供」を行う必要はないとの理解でよいか(例:シンガポール支店
個人情報取扱事業者である日本法人に帰属)が、本人からの要請を受け
て、同支店で保管する個人情報を、シンガポール現地の他の法人に提供する
場合)。
また、本人の要請を受けた場所が外国というだけでなく、要請を行った本人
が当該外国に居住する者である場合はどうか(例:シンガポール支店(個人
情報取扱事業者である日本法 人に帰属)が、シンガポールに居住する本人か
らの要請を受けて、同支店で保管する個人情報を、シンガポール現地の他の
法人に提供する場合)。

A

個別の事案ごとに判断されますが、 本人の要請によって外国にある第三者に当該本人の個人データを提供する場合であっても、「外国にある第三者への個人データの提供を認める旨」の本人の同意を得ようとする時点において、当該本人が 、 提供先の第三者が所在する 外国の個人情報 の 保護 に関する制度に関する情報 、及び 当該第三者が講ずる個人情報の保護のための措置に関する情報を適切に認識していることを確認できた場合等の例外的な事由がある場合を除き個人情報取扱事業者は、改正後の法第 24 条第2項により求められる情報を当該本人に対して提供する必要があります。この点は、本人の所在地や居住地が外国である場合にも同様です。

No.37 Q 情報提供義務は委託元?委託先?
委託先(国内企業)の再委託先が外国事業者であった場合、委託元が本人に
対して情報提供をする義務があるかどうかについて解説いただけることを望
みます。

A

個別の事案ごとに判断されますが、 例えば、委託元 が国内の事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した場合には、改正後の法第 24 条第1項及び第2項の義務 は、原則として 当該 委託先に課されると考えられ ます。 ただし、この場合でも、委託元は当該委託先に対する監督義務を負うため(法第 22 条)、当該委託先が再委託先に対して適法に個人データの提供を行っているか等を含め、当該委託先による個人データの取扱いについて、適切に把握し監督する必要があります。

 

情報提供の方法

No.42 Q 行政機関HPリンク掲載で良いか
情報提供の方法として事例 4 にある「必要な情報をホームページに掲載
し、本人に閲覧させる方法」を取る場合に、「我が国又は外国の行政機関
等が公表している情報」が掲載された行政機関等のホームページの URL
を、 事業者のホームページに掲載する方法が認められると解してよいか。

A

同意取得時の情報提供により、個人データの越境移転に係るリスクについての本人の予測可能性を向上させ、本人が同意の可否を適切に判断できるようにするという改正後の法第 24 条第2項の趣旨 を踏まえると、本人に対する情報提供は、改正後の施行規則第 11 条の 3 第 2 項から第4項までの規定により求められる情報を本人が確実に 認識できる と考えられる適切な方法で行う必要があります。
個別の事案ごとに判断 されます が、 改正後の施行規則第 11 条の3第2項から第4項までの規定により求められる情報が掲載されたWebページ が 存在する場合に、当該Webページ のURLを 自社のホームページに掲載し、当該URL に 掲載された情報を本人に閲覧させる方法も、改正後の施行規則第 11 条の3第1 項における「 適切な 方法」 に該当する と考えられます。
なお、この場合であっても、 例えば 、当該 URLを 本人 にとって分かり やすい場所に掲載し た 上で、同意の 可否 の判断の前提として 、本人 に対して 当該情報の確認を明示的に求めるなど、 本人が当該URLに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要 が ある と 考えられます。

 

No.43 Q 本人が実際に閲覧したことの確認は不要?
「事例4 )必要な情報をホームページに掲載し、本人に閲覧させる方法」と
されているが、これは、ホームページ上の本人が閲覧することが容易な場所
に必要な情報を掲載すれば当該方法に該当し、実際に本人が閲覧したことの確認までは不要との理解でよいか。仮に、これでは足りないとされる場合に
おいて、「本人に閲覧させる」とは、例えば、必要となる情報が掲載された画
面に1回程度の操作で遷移するよう設定したリンクやボタンを示すことでも
足りるか。

A

そのため、個別の事案ごとに判断されます が、 ホームページ に必要な情報を掲載する場合においても 、例えば 、 必要な情報を 本人 にとって分かり やすい 場所に掲載した 上で、 同意の可否の判断の前提として 、本人に対して 当該情報の確認を明示的に求めるなど、 本人が当該情報を閲覧すると合理的に考えられる形で、情報提供を行う 必要 がある と 考えられます。

提供すべき情報

No.46 Q 本人が提供先国名を認識している場合
海外ホテルの予約に伴う予約先ホテルへの提供など、実質的に本人が提供先
国名を認識している場合、明示的に外国の名称を同意取得時に明記していな
いとしても、法 24 条の同意を取得しているものと評価してよいか、ご教示い
ただきたい。

A

個別の事案ごとに判断されますが、 例えば、本人が移転先 の 外国を決めている場合のように、本人 が 移転先国の名称を認識していることが確実である場合には、事業者側から重ねて情報提供する必要はないと考えられます 。
もっとも、この場合でも、 提供先の第三者が所在する外国の個人情報の保護に関する制度に関する情報や、当該第三者が講ずる個人情報の保護のための措置に関する情報について、認識していないことが通常であると考えられる ため 、「外国にある第三者への個人データの提供を認める旨」の本人の同意を得ようとする時点において、当該本人が、 提供先の第三者が所在する 外国の個人情報 の 保護 に関する制度に関する情報、及び当該第三者が講ずる個人情報の保護のための措置に関する情報を適切に認識していることを確認できた場合等の例外的な事由がある場合を除き、個人情報取扱事業者は 、こ
れらの 情報を 当該 本人 に 対して提供する必要があります。

水町感想 旅行会社は膨大な作業量になりかねず、大変そう。

 

No.47 Q 提供先日本法人の外国支店・外国サーバでの取扱い
1) 提供先の第三者が日本法人であって、当該日本法人の支店がインドにあり、提供した日本人の個人データがそのインドにある支店で取り扱われている場合は、外国にある第三者への提供に該当しないと考えて良いか?
2) また、提供先の米国法人が運営するデータセンターがインドにあり、日本人の個人データがそのインドにあるデータセンターで取り扱われている場合は、本人同意を取得するときに本人へ情報提供する外国名としては米国で良いか?

A

1) 個別の事案ごとに判断する必要がありますが、国内にある提供元の事業者が、日本法人の外国支店に直接個人データを提供する場合には、「外国にある第三者」への提供に該当し得ると考えられます 。
2) 改正後の施行規則第 11 条の3第2項第1号の「当該外国の名称」における外国とは、提供先の第三者が個人データを保存するサーバが所在する外国ではなく、提供先の第三者が所在する外国をいいます。そのため、御指摘 のケースでは 、「当該外国 の名称」として米国である旨を情報提供することが求められます。
なお、提供先の第三者 が所在する 外国 の名称に加え、当該 第三者が個人データを取り扱う サーバの所在国についても 情報提供することは 、望ましい取組であると考えられます。

水町感想:No8との整合性がわからない。この場合、提供元から外国支店に直接提供だからなのか?No8の場合、当該外国法人には日本の個人情報保護法が適用になるので、

それで適正性を担保できるということだと思うが、No.47も、提供先の日本法人には日本の個人情報保護法が適用になる。外国への提供が直接なのか、間に誰が入っているかで違う解釈にしている?個別の事案ごとに判断って、その考慮要素とかを示す必要があるのでは??

 

No.48 Q 登記上の本店住所地が外国名?支店等はどうなる?
1「提供先の第三者が所在する外国」とは、提供先の第三者が法人や組合
の場合は当該第三者の登記上の本店所在地がある国でよいのか確認したい
2その第三者の支店等がある国についても提供する必要があるのか、以下
の場合に分けて明示され たい。
①同一法人の支店
②同一法人の駐在員
③海外子会社
④海外関連会社
⑤組合の場合の組合員

A

1 「国の名称」における外国とは、提供先の第三者 が所在する外国をいい、当該第三者が法人である場合には、通常 、当該第三者の本店所在地がある国がこれに該当すると考えられます 。
2 提供先である外国にある第三者が別の国に支店や現地子会社等を有する場合において、当該支店や 現地子会社 等 を有する国の名称 について情報提供すべきかは日本 にある個人情報取扱事業者が直接 当該 支店や現地子会社等 に対して 個人データを提供するものか 又は 外国にある第三者を経由して提供するものか等の個人データの提供のフローや、 提供された個人データの 取扱状況等を踏まえて個別 の事案ごとに判断する必要があると考えられます 。
もっとも、 例えば、日本にある個人情報取扱 事業者 が 外国にある第三者に 個人データを提供した上で 、 その後に当該外国にある第三者が当該 個人データを別の外国に所在する支店等に再提供し、取り扱わせる場合 においては 、 改正後の法第 24 条第2項 、改正後の施行規則第 11 条の3第2項第1号により 日本にある 個人情報取扱事業者が情報提供する必要のある 「当該外国の名称」は、当該外国にある 第三者が所在する外国の名称であり、 支店等が所在する外国の名称はこれに該当しないと考えられます。

No.49 Q 委託先にOECE8原則に対応する義務を課せば、その旨の情報提供でよい?
「当該第三者が講ずる個人情報の保護のための措置に関する情報」の調
査方法について具体的な説明が無いが、例えば委託先に対してOECD8 原
則に対応する措置を講じる義務を委託契約等で課していれば、その旨を
情報提供すれば足りると解してよいか。

A

御理解のとおりです。

相当措置の継続的な実施を確保するために必要な措置規則第11 条の4第1項関係

No.136 Q 個人情報保護委員会で調査してほしい
<意見>
「外国の制度の有無及びその内容」を「適切かつ合理的な方法」で年1回以
上の頻度で確認するのは事業者にとって多大な負担である。
また、事業者ごとに提供する情報の時点や内容が異なることも考えられ、本
人がかえって混乱することが懸念されるため、個人情報保護委員会において
最新情報を提供していただきたい
個人情報保護委員会が最新情報を提供しない場合には、「適切かつ合理的な方
法」の水準の解釈は柔軟にされるべきである。
<理由>

外国にある第三者への確認は地理的要因等により事業者に多大な負担となる
可能性があることを懸念するため。また、事業者ごとに提供する情報が異な
ることにより本人が混乱することが懸念されるため。

A

改正後の法第 24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責 務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会 においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。

水町感想

確かに、事業者ごとに解釈の相違、情報が古い、事実認識の齟齬等が出かねない。

 

No.139 Q 個人情報保護委員会で調査してほしい
「外国にある第三者による相当措置の実施に影響を及ぼすおそれのあ
る当該外国の制度」は、必ずしも個人情報の保護を目的とする法令に限られ
ず、たとえば安全保障や治安維持を目的とする法令や訴訟法令等に規定され
る可能性があり、広範な調査を要するおそれがある。そのため、個人情報取
扱事業者として、上記例示の行政機関等が公表している情報としてどの範囲
までを調査すれば「一般的な注意力をもって適切かつ合理的な方法により確
認」したことになるのか、目安をご教示いただきたい
(理由)
ガイドライン 案 72 頁では、【相当措置の実施に影響を及ぼすおそれのある
外国の制度に該当する事例】として、「事業者に対し政府の情報収集活動への
広範な協力義務を課すことにより、事業者が保有する個人情報について政府
による広範な情報収集が可能となる制度」と「事業者が本人からの消去等の
請求に対応できないおそれがある個人情報の国内保存義務に係る制度」の 2
つの事例が掲げられている。
しかし、規則第 11 条の 3 第 2 項第 2 号に係る情報は、対象国の個人情報の
保護に関する法令を調査すれば取得可能であるのに対して、上記の 2 つの事
例をはじめとする 「外国にある第三者による相当措置の実施に影響を及ぼす
おそれのある当該外国の制度」は、安全保障や治安維持等の個人情報保護に
限定されない様々な目的を有する法令や訴訟法令等に規定されている可能性があることから、その制度の存否を回答するためには対象国についての相当数の法令を調査する必要があり、あまりに過大な負担となることが容易に想定される
事業者に対する過大な負担とそれに伴う対応不足により本人に十分な情報
が提供されず本人の権利利益保護が不十分となることを防ぐため、貴委員会
にて当該情報を公表いただくことを強く求める
また、公表予定の情報の内容、対象国及び公表時期についての貴委員会の
ご想定を回答いただきたい海外法制の調査は情報の取得が困難で長期の時
間を要する場合もあるところ、早期のご回答により、個人情報取扱事業者
しても公表予定のない情報に注力した情報の収集を行うことが可能となり、
結果として本人保護に繋がるものと考えられる公表いただく情報の対象国
として、特に、海外進出日系企業の拠点数や日本との貿易額の上位国につい
ては、情報を公表いただくことによる便益が極めて大きいものと思料され

そして、調査すべき法令の 範囲について目安を設定いただくことにより、
個人情報取扱事業者が重大な法令の見落としをすることなく、適切な調査が
可能となるため、本人保護のためにもこれを求める

A

改正後の法第24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。対象 予定国 や 公表に 向け た スケジュール等については、本年 の秋頃 を 目途 にお示しすることを 検討してまいります。
改正後の施行規則第 11 条の4第1項第1号の 「外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度」の 確認 については、 一般的な注意力をもって、 適切かつ 合理的な方法 による必要があり 、具体的な 方法 や調査の 範囲 については 、 個別の事案 ごとに 判断 する必要があると考えられます 。なお、「 適切かつ合理的な 方法」としては、 我が国又は外国の行政機関等が公表している情報を 確認する 方法のほか、提供先の外国にある第三者に対して 照会 する方法 等 も考えられます。

水町感想

あまりに的を射ている。あまりに論理的、説得的な文章で、この文章を作成できる方、すごいと思う。

 

No.140 Q 個人情報保護委員会で調査してほしい
<意見>
外国の制度について、改めて、個人情報保護委員会からも情報提供いただく
ことをお願いしたい。事業者において提供先国に関する情報のリサーチをさ
せて保護の状況を把握させるとい う趣旨は理解できるが、各事業者個別に各
国法制度をリサーチさせるのではなく、当局から提示される情報をリサーチ
して把握するというのでも十分趣旨は達成され、非効率性や過度な負担も低
減される
<理由>
全ての提供先国の外国法制度を個別にリサーチすることは、事業者の規模も
大小様々であり、現実的には相当程度の負担となり得るもので、当局からの
情報提供を改めてお願いしたい。

Aは割愛(ほぼすべてのQに対して同様のAのため)

 

No.141 Q ガバメントアクセス制度が存在すること自体、相当措置の継続的な実施の確保が困難になるケースと同義か
(御意見)
個人情報取扱事業者が、データ入力等を委託する契約に基づき、外国にあ
る第三者(基準適合体制を整備している企業)に個人データを提供している
として、当該外国で、 72 ページ記載の事例1の制度注が存在する旨判明した
場合、事実上、それを解消又は改善するための必要かつ適切な措置を講じる
ことは極めて困難と考えられる。
そのため、事例1 のような制度が存在すること自体、相当措置の継続的 な
実施の確保が困難になるケースと同義であると考えるべきか
このような制度が存在する場合でもなお、当該外国の第三者による相当措
置の継続的な実施を確保するための必要な措置(当該支障の解消又は改善の
ために必要かつ適切な措置)として考えられる事例があれば、ご教示いただ
きたい
注)事業者に対し政府の情報収集活動への広範な協力義務を課すことによ
り、事業者が保有する個人情報について政府による広範な情報収集が可能
となる制度

A

一般論として、 提供先 の第三者が所在する 外国 において、 御指摘 の事例1のよ
うな制度が存在する場合においても、当該制度の存在自体により 、直ちに外国に
ある 第三者による 「相当措置の継続的な実施の確保が困難となった」に該当する
ものではなく、当該 第三者による個人データの取扱状況 や、 当該制度の運用の状
況等を踏まえ て、外国にある第三者による相当措置の継続的な実施の確保が困難
となったか否かを個別の事案ごとに 判断する必要があると 考えられます 。

水町感想

的を射た質問。回答については、制度の運用状況を踏まえるというのは、かなり難しいところな気がする。。。

 

No.142 Q 具体的な確認方法
(意見
三者において相当措置の実施状況を確認する際に、「書面により報告を受け
る方法又はこれらに代わる合理的な方法」とあるが、外形的な手続き面のみな
らず、事例として実質的な確認方法をガイドラインまたは Q A 等にて具体例
を示すべき
(理由
クラウド化が進む現在、外国にある事業者との関係において、ガイドライン
で標準的な方法を示す事で、より実効的な対応を促進する事が可能と想定され
るため。

A

提供先の 外国 にある第三者によ る相当措置の実施 状況 は、 当該 外国 にある第三
者 に 提供する個人データの 内容 や規模 に応じて 、適切かつ合理的な方法により 確
認する 必要がありますが 、 具体的な 確認の 方法 については、個別の事案における
具体的な事情 も 踏まえて 決定 すべきものであると考え られます 。

 

No.144 Q 監査は必須ではない
【意見】
書面での確認だけでよいのか、何らかの監査の実施は不要か確認したい

A

一般論 として、相当措置の実施 状況について 書面による 報告を受けて確認する方法も、 適切かつ合理的な方法に該当し得る と 考えられます 。

水町感想

一般論としては書面確認だけで良いとの回答。

 

No.145 Q 報告を求めるべき内容
「確認」の方法として一番現実的なのは、提供先から書面による報告を受
けることであると思われるが、その内容が改正案で十分に示されておらず、
提供先にどのような照会をし、どのような報告を受けるべきかが明確ではな
いためである。

A

書面 によりどのような報告を 求める べきかについては 、 個別の事案ごとに判断する必要がありますが 、 例えば 、 提供元の 事業者が、 提供先 の外国にある第三者との間 で 契約 を 締結することにより当該提供先の基準適合体制 (法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基 準に適合する体制) を整備している場合には、 当該 契約の履行状況(履行に問題が生じた場合の当該問題の内容 や それに 対 して 講じた対応策等 を 含む。)について 、報告を求めることが考えられます

 

No. 147 Q

「相当措置の実施状況の確認」として、同一の企業グループ内で個人デー
タを移転する場合において、提供元(日本)および提供先(外国)に共通し
て適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整
備している場合、たとえば、欧州域内に所在するグループ会社のデータ・プ
ライバシー・オフィサーが各グループ企業のプライバシーポリシーの履行状
況を確認し、その確認結果を日本の提供元が確認することにより、相当措置
の実施状況を確認したとすることは可能か確認したい。

A

同一の企業グループ内で個人データを移転する場合において、提供元及び提供先に共通して適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整備している場合 において、 他のグループ会社が 当該 提供先 による当該 プライバシーポリシーの履行状況を確認している場合は、 当該 確認結果を確認する方法も、 当該 提供先による 相当措置の実施状況についての 適切 かつ合理的 な方法による 確認に該当すると考えられます。

水町感想

そりゃそうだろう。形骸化しているとかの特殊事情がない限り、Qにあるようなことができれば良いでしょう。

 

No.149 Q

<意見・理由>
 定期的な確認については、「外国にある第三者に提供する個人データの内
容や規模に応じて、適切かつ合理的な方法により確認する必要がある
が、例えば、個人データを取り扱う場所に赴く方法、書面により報告を
受ける方法又はこれらに代わる合理的な方法(口頭による確認を含む。)
により確認することが考えられる。」とあるが、
①「日本にある個人情報取扱事業者が、外国にある親会社に従業員情報
を提供する場合」において、提供する個人データの内容や規模によっ
ては、外国親会社の内規に基準適合体制が構築されているといえるだ
けの規則があるのであれば、外国親会社における情報管理部署におい
て内部点検が機能しており、また内部監査部門における監査が有効に
機能していることの、個人データの提供元である日本の個人情報取扱事業者(以下「提供元」)における口頭での確認のみによっても、ここ
にいう相当措置の実施状況に関する確認となりうるという趣旨と解し
てよいか
②「個人データを取り扱う場所に赴く方法、書面により報告を受ける方
法又はこれらに代わる合理的な方法(口頭による確認を含む。)」に
は、例えば次のような方法で報告を受ける場合も含まれうるか。な
お、いずれも報告結果については提供元において内容を精査し、必要
な場合には追加での確認を依頼するか、または提供元自身で確認する
ことを前提とする。
(ア)提供元の委託に基づき、外部の監査人または提供元の外国親会社
もしくはその子会社の従業員が個人データを取り扱う場所に赴い
て調査し、書面または口頭で提供元に報告する方法
(イ)提供元と提供先との間で合意した外部の監査人が個人データを取
り扱う場所に赴いて調査し、書面または口頭で提供元に報告する
方法

A

① 個別 の 事案 ごとに判断されますが、例えば、 内規 等により 提供先 の第三者が 基準適合体制 (法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制)を 整備している場合に、 当該 提供先において 当該内規等 の 遵守状況に関する 内部 点検が行われている場合には、 当該点検の結果を確認することも、 当該 提供先による 相当措置の実施状況についての 適切 かつ合理的な方法による 確認に該当すると考えられます 。
ただし、提供元の事業者は、 当該 提供先 による相当措置の実施状況を 確認 する必要があることから、 内部 点検が 適切 に 行われている ことのみ を確認する に とどま り、点検 の内容 等についての確認を行わない場合には、 当該 提供先による 相当措置の実
施状況についての 適切 かつ合理的 な方法による 確認 には 該当しないと考えられます。
② 個別 の 事案 ごとに判断されますが、御指摘の よう な 場合についても、 提供先による 相当措置の実施状況についての 適切 かつ合理的 な方法による確認に該当すると考えられます 。

水町感想

点検内容まで確認する必要がある。

 

提供すべき情報(規則第 11 条の4 第 3 項関係)

No.175 Q

【意見】
事例1 )で、「『事業者に対し政府の情報収集活動への広範な協力義務を課
すことにより、事業者が保有する個人情報について政府による広範な情報収
集が可能となる制度が存在する』旨の情報提供」が挙げられているが、具体
的にどういった場合が該当するのか明らかにされたい。
また、個人情報保護委員会が提供を予定している外国の制度の概要等の中
に、「当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国
の制度」についても含められたい。

【理由】
日本でも、令状に基づく個人情報の収集が認められており、令状がない場
合でも、事業者は任意に協力することが求められている個人情報保護法 23
条 1 項 1 号、刑事訴訟法 197 条 2 項等)。このことは多くの国においても同様
だと思われる。そうした制度すべてを記載することは必要ないと思われる
が、改正案の「広範な協力義務を課すことにより」や「広範な情報収集が可能となる制度」という例示は、非常にあいまいで明確でなく、事業者が提供
すべき情報の範囲を正しく判断することができない
そもそも、外国の制度概要等の情報提供を事業者ごとに行わせることは事業者にとって過大な負担となり、また社会経済的にも効率がよいとはいえず、個人情報保護委員会のような公的な機関等が必要な情報を取りまとめ、開示する方法が望ましい。また、本人への情報提供内容が事業者ごとに異なることにより、本人において情報提供に関する適切な判断が困難となる可能性がある。

A

「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」としては、本ガイドライン(外国にある第三者への提供編)案6-1に記載の事例1及び事例2のように、提供先の外国にある第三者との間で契約等を締結 している場合においても、当該外国の制度の存在により、当該契約等の履行が困難となる可能性があり、 我が国の個人情報取扱 事業者により 個人データが 取り扱われる 場合 に 相当する程度の本人の権利利益の保護 の確保に影響を及ぼす可能性がある制度を想定しています
個別の制度ごとに判断する必要がありますが、 例えば捜査機関による 情報収集を可能にする制度についても、我が国における制度 と比較 して、 本人の権利利益 の 保護の観点から 本質的な 差異があるもの でな い 場合 には 、 「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」 には含まれないと考えられます
改正後の法第24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関 する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。

 

No.176 Q

「外国第三者による措置実施に関する支障」に関する情報提供に関連して、
情報提供義務の対象となる「支障」はどの程度のものが想定されているので
しょうか。実際には、措置の実施に関する不備としては、廃棄方法の不備な
ど漏えいに直接つながりかねない重大なものから、定期的に実施される従業
員教育の一部の漏れといった軽微なものまで、さまざまなレベルのものが想
定されます。
(理由)
軽微なものまで情報提供義務の対象になると負担が重いので、範囲について
考え方を確認しておきたいと考えています。

A

改正後の法第24 条第3項における情報提供の趣旨は、情報提供により、本人が必要に応じて自己の権利利益の保護のための措置を講じられるようにすることにあります。
そのため、改正後の施行規則第11 条の4第3項第6号の「相当措置の実施に関する支障」についても、本人の権利利益の保護に影響を及ぼし得るものについて情報提供すれば足り、軽微な契約違反等について情報提供することは求められません

 

 

ナノブロック姫路城天守閣64工程目ぐらい

ナノブロック姫路城ですが、大体できたら、天守閣は別建てで作る工程になっています。

 

f:id:cyberlawissues:20210924180934p:plain

↑49工程目。一番下の屋根が2階?なので、3階?までできた様子か。

 

f:id:cyberlawissues:20210924181215p:plain

↑60工程目。4階までできあがったぐらい?

 

f:id:cyberlawissues:20210924181339p:plain

↑64工程目ぐらい。天守閣が出来上がるのは76工程目で、77工程目で本体とくっつけるので、今月ぐらいには完成するか?

 

ナノブロック楽しいですね。姫路城は作るのに時間がかかって、本当に楽しいです。よく見ると本当に精巧にできていますし、本当に楽しいです。

ポケモンをきっかけにナノブロックに出会えてよかったです。

匿名加工医療情報提供審査委員会委員

匿名加工医療情報提供審査委員会委員を拝命しました。

この委員会は、日本医師会系の次世代医療基盤法大臣認定事業者である、J-MIMO(一般財団法人日本医師会医療情報管理機構)に設置された委員会で、次世代医療基盤法に基づく匿名加工医療情報の提供等について審査する委員会です。

https://www.j-mimo.or.jp/prc.html

個人情報保護法の講演予定

11月11日に、日弁連で「個人情報保護法2020年改正を踏まえた個人情報取扱の留意点」と題する講演を行います。

改正の簡単な講演をしたのち、ほかの先生とパネルディスカッションをする予定です。

 

無料だと思いますが、閲覧可能者は弁護士に限られるようです。

https://kenshu.nichibenren.or.jp/product/detail.php?pid=24648

【個人情報Q&A】クラウドが外国の場合、国名を本人に通知等する必要がありますか

クラウド上でデータを保管しています。

個人情報保護法2020年改正により、外国に関する情報提供義務ができたと聞きました。クラウドのサーバが外国の場合、国名などを本人に通知等する必要があるのでしょうか。

 

外国に関する情報提供義務は、

個人情報保護法24条による情報提供義務と、

個人情報保護法27条による安全管理措置の公表等義務の二種類があります。

 

個人情報保護法24条による情報提供義務の点については、クラウドサービス事業者において個人データを取り扱うこととなっているのかどうか」によって、外国に提供していると判断されるかどうかが異なります。クラウド事業者が個人データを取り扱わないことになっている場合は、クラウド事業者が外国の事業者であったり、サーバが外国であったりしても、外国に提供したとは判断されません。

具体的には、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等だと、クラウド事業者は個人データを取り扱うこととなっていないと考えられます(Q&A12-3、7-53 )。

したがって、①の点からは、ご質問の事例の場合、「クラウドサービス事業者において個人データを取り扱うこと」となっていれば、国名などを本人に通知等する必要があり、「クラウドサービス事業者において個人データを取り扱うこと」になっていなければ、通知等する必要がありません

なお、「通知等」と丸めて書いていますが、本人の同意を取得する場合としない場合とでやるべきことは異なります。詳細は、以下PDFの77-80P/全210Pなどを御覧ください。

http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf

 

個人情報保護法27条による安全管理措置の公表等義務の点については、クラウド事業者が、個人データを取り扱わないこととなっている場合であってもなくても、同様の結論になり、結論としては情報提供義務を負います

この場合、安全管理措置の一環として、クラウド事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で安全管理措置を講じる必要があります(個人情報保護法20条、GL7-7)。

そして、当該安全管理措置の内容を本人の知り得る状態に置く必要があります(個人情報保護法27条1項4号・施行令8条1号)(Q&A10-25)。

ただ、必ずしも「通知」する必要はなく、「公表」であったり、「本人の求めに応じて遅滞なく回答」するなどでも可能です。

 

 

と、書きましたが、これって結構ものすごく大きなインパクトではないかと思います。

One Driveとか、Boxとか、Slackとかに個人データが保管されている場合って現実的にはありうると思います。もちろんAWSSalesforce、Azureとかにも。

そのすべての場合において、どこの国に置いてあって、どういう個人情報保護法制になっていてというのを、全部の事業者が把握し、本人に回答するって、現実的にかなり小さい規模の会社もあるでしょうし、本当に100%できるのかなと思いました。

 

ただ、クラウド側ではそこそこもう対応済なのでしょうか。Microsoftだと、個々の顧客は自分のデータの保存場所が分かるようになっているようです。

https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide