個人データを外国に提供する場合は、記録の作成・保存義務がかかるのでしょうか。
※かなりマニアックな話になります。
個人情報保護法の条文(24・25条)
(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
(第三者提供に係る記録の作成等)
第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
個人データを外国に提供する場合、原則本人同意が必要です(適切な国や適切な相手方の場合、個人情報保護法23条1項各号の場合は同意がなくても例外として許容される)。
そして、個人情報保護法24条後段では、個人情報保護法23条を適用しないとしています。
つまり、委託でも、共同利用でも、事業承継でも、外国の場合は、同意か、適切な国や適切な相手方である必要があるということになります。適切な国や適切な相手方構成の場合は、個人情報保護法23条は適用されるとのことです(宇賀克也『個人情報保護法の逐条解説第5版』(有斐閣、2016年)180ページ)。
そして、個人情報保護法25条では、個人データの提供に伴う記録の作成・保存義務を定めています。
しかし、個人情報保護法25条では、個人情報保護法23条5項各号等の場合は、記録の作成・保存義務がかからないと規定しています。
もっとも、外国提供の場合は、個人情報保護法23条5項各号でも除外しておらず、個人情報保護法23条1項各号等の場合に、記録の作成・保存義務がかからないと規定していると私は考えます。
つまり、委託や共同利用や事業承継に伴って外国に個人データを提供する場合は、記録の作成・保存義務があり、委託や共同利用や事業承継に伴って国内に個人データを提供する場合は、記録の作成・保存義務がないと考えます。
しかし、個人情報保護委員会の第三者提供時の確認・記録義務編 ガイドライン5ページを見てみると、
https://www.ppc.go.jp/files/pdf/guidelines03.pdf
同意を得ずに、委託や共同利用や事業承継に伴って外国に個人データを提供する場合は、記録の作成・保存義務がないというように、記載されているように見えます。
類型Ⅱ又は類型Ⅲの「2-1-2 法第 23 条第 5 項各号に掲げる場合」に該当する場合は、記録義務の適用の有無が無となっているからです。
ガイドラインでいう類型Ⅱは適切な国のこと、類型Ⅲは適切な相手方のことで、「2-1-2 法第 23 条第 5 項各号に掲げる場合」とは委託や共同利用や事業承継のことだからです。
これはなぜなのでしょうか。
個人情報保護法24条1項但書では、「ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。」と規定されています。国内提供の場合は個人情報保護法23条1項・5項の場合に記録義務の適用がなく、海外提供(個人情報保護法24条)の場合は、個人情報保護法23条1項の場合に記録義務の適用がないと読むのが、文理解釈としては自然ではないでしょうか。
前掲宇賀184ページも、私の意見と同旨のように読めます(失礼な書きぶりになってしまいましたが、宇賀先生のご意見とご一緒のような気がするという意味です)。以下宇賀先生の記述を引用します。
23条5項各号のいずれかに該当する場合であっても、外国にある第三者への個人データの移転にかかる記録作成義務は免除されていない。(中略)委託、事業承継、共同利用に伴う提供であっても、本人同意が必要とされており、したがってトレーサビリティの確保のために記録作成義務を課す必要があると考えられるからである。
しかし、個人情報保護委員会ガイドラインの見解を取るためには、どういう理屈構成にすればよいのかを考えると、前掲宇賀180ページを読んで、以下のような考え方から個人情報保護法平成27年改正の立法がなされたとも考えられるのではないかと思いました(宇賀先生は以下のことをはっきり述べておられるわけではないので、あくまで私の推測)。
- 個人情報保護法24条後段の「この場合においては、同条の規定は、適用しない。」というのは、24条前段の同意構成を取る場合、個人情報保護法23条を適用しないという趣旨である
- 24条前段の例外構成(適切な国か適切な相手方等)の場合は、個人情報保護法23条は適用されるという趣旨である
- また、個人情報保護法25条1項但書でいう「(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」の「前条の規定による個人データの提供」とは、24条前段の同意構成をいっているにすぎず、24条前段の例外構成(適切な国か適切な相手方等)は指していない?
- そうなると、24条の同意がある場合であっても、23条1項の場合は記録義務の適用なし、24条の同意がない場合は、23条1項・5項の場合等に記録義務の適用なし?
でも、これもかなり強引な気がしますが…。内閣法制局的にはそういう構成もありえなくはないかな、と。ああ、たぶんそういう解釈でガイドラインはできているのかな。個人情報保護法25条1項但書でいう「前条の規定による個人データの提供」に、24条の例外による個人データの提供は入らないという解釈かな。
宇賀先生の本を読む限り、24条前段の例外の適切な国と適切な相手方の場合は、日本法相当の個人情報保護があり、そうでない場合は日本法相当の個人情報保護がないおそれがあるため本人同意が必要で合って、25条の記録義務においても日本法相当の個人情報保護がない恐れがある場合はトレーサビリティ確保する必要があるというような記載があり、その趣旨を追及すると、24条の適切な国と適切な相手方構成の場合は、日本法相当の個人情報保護があるから、記録義務はいらないとも読めると思います。
でも、個人情報保護法25条1項但書の書きぶりの文理解釈としては、「前条の規定による個人データの提供」とは、24条前段の同意構成だけではなく、24条に従った個人データの提供全体を指していると読んだ方が、文理解釈としては自然だと私は思います。24条前段の同意構成だけをいうとするのは、あまりに技巧的で、普通に25条1項但書を読んでも、普通にはわからず、こういう法文は好ましくなく、24条に従った個人データの提供全体を指すとした方が適切ではないでしょうか。委託でも共同利用でも事業承継でも外国の場合は、23条5項でも、記録義務適用になると読むのが自然だと思います。
たとえば、契約書でこういう風に、「前条の規定による個人データの提供」と書いておいて、それがさしているのが、前段の同意構成のときだけって主張するのは、裁判でそういう風に解釈してもらえる可能性って高くないと思うのです(その他の諸般の事情からそう読めるということであれば別だけど、文理解釈としては謎じゃないですか)。弁護士が契約書を作るときならこういう書き方はやめたほうが良い。そうすると、契約書よりももっと多くの人に適用される法令で、前段の同意構成のときだけっていう技巧的表現・解釈は、やっぱりちょっとどうかと思います。
以上より、水町としては、委託でも共同利用でも事業承継でも外国の場合は、記録義務適用になると考えます。もっとも実務上は、個人情報保護委員会のガイドラインに従っておけば個人情報保護委員会による制裁はありえないと通例は考えられるので、外国提供の場合でも、委託や共同利用や事業承継の場合は記録をつけなくても問題ないとも考えられますね。ただ裁判になった際は、ガイドラインは参考にすぎず、適用されるのは法令ですので、ガイドライン見解を裁判で裁判所が認めるかどうかは別とも言えます。もっとも、民事裁判で、25条違反で損害賠償とかってなかなか考えにくいですが。あ、でも、開示義務課されると、25条違反でそもそもの記録がないっていうときに、損害賠償っていう話もなくはないかもしれません。そうすると、外国提供って、消費者から見たら国内よりもさらにトレーサビリティを求めてもおかしくないでしょうから、訴訟対応を考えると、やっぱり外国提供は記録をつけておいた方がよい=水町説を実務でも採用したほうが良いかもしれません。
2020.4.8追記
・外国提供の透明化の要請
外国提供について、消費者側は、国内提供よりもトレーサビリティを求めるという風に私は考えます。なぜならば、国内であれば個人情報保護法が適用になって、罰則・行政制裁・民事訴訟等が可能でありますが、外国であれば個人情報保護法が適用される場合も少ないので、罰則・行政制裁ができる場合も少なく、また民事訴訟も事実上難しいからです。委託・共同利用であれば、委託元・共同利用のうちの一社ぐらいは国内でしょうから、その国内事業者に対して罰則・行政制裁・民事訴訟等を行うという考え方もありますが、委託元による監督責任は十分果たしていた場合などは、やはり実際に問題を起こした海外事業者に訴訟等をする必要があると思います。また事業承継の場合、承継前の会社が存続していればそこに罰則・行政制裁・民事訴訟等を行える場合もありますが、消滅していれば、責任を問える国内事業者がいないわけで。
外国提供について、令和2年個人情報保護法改正で、情報提供義務が課される予定です。このことは、外国提供についての透明化を求める考え方と符合するのではないでしょうか。
そうすると、委託・共同利用・事業承継であっても、海外提供であれば、記録義務が生じると考えた方が、私個人としては適切だと思います。
・文理解釈
また文理解釈ですが、よく考えると、やはり法制局実務の想像をすると、個人情報保護法25条1項但書括弧書でいう「(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」の「前条の規定による個人データの提供」とは、24条による同意取得構成のみをさしているとも考えられますが、しかし、「24条の規制を満たした個人データの提供の場合は」と読む方が、文理解釈としては自然ではないかとも思うのです。
というよりも、たぶん、こういう不明瞭な法文形態が良くないのだと思います。法制局実務を想像すると、「当たり前だから書かない」「これはこうなるのが当然」みたいな解釈が結構通っているようにも思いますし、「用例」をとても重視する伝統があります。法制局のように頭の良い方だけで会話している分には良いのかもしれませんが*1、一般の法曹が読んで誤解がないような規定にするということは、すごく大事です。本来なら「一般の法曹」ではなく「合理的・文化的な一般人」が読んで誤解がないように規定すべきではあります。そうすると「前条の規定による個人データの提供」ではなく、これが同意構成だけを指しているのであれば、「前条の規定により本人の同意を得た個人データの提供にあっては」みたいな書き方にした方が適切だと考えました。
・最後に
どうでもいい細かい話で恐縮でした。また企業実務的には、通常は、法文を見るというよりはガイドラインに従うことが多いと思うので、私のこの細かい話が役立つ場面は大変に少なそうです…。
万一役立つことがあるとしたら、令和2年個人情報保護法改正が施行された後に、消費者側が外国提供記録の開示請求をして、で事業者側が記録義務ないって主張して、訴訟になったときの、消費者側の主張的な意味かなと思います。
*1:それでも「用例」をいくら重視しても、過去の「用例」が間違っている場合があり、あんなに「用例」検索に時間をかけるのは不合理・理不尽だと思いますが