ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人データの外国提供についてのパブコメ(No,1-54,136-183)

今、ちょこちょこ個人情報保護法改正ガイドラインパブコメを見ているところですが、海外編パブコメNo,1-54,No,136-183までのうち気になるものについてブログに貼り付けて紹介したいと思います。

 

事業者名については貼りつけませんでしたが、Noを書いているため、原文を見れば、事業者名も公開されています。

なお、私の感想を先に書いてしまうと、やはり外国法制度調査は事業者側に過大な負荷となりうるもので、当局回答だと論理構成としてもちょっと弱いかなと思ってしまいました。外国法制度については当局調査をやってくれるとのことですので、その内容に期待したいところです。

 

 

個人情報の保護に関する法律についてのガイドライン( 外国にある第三者への提供編 )の一部を改正する告示案 」 に関する意見募集結果

総論

No.3 Q

ガバメントアクセスが発生したことをもって、個人情報保護法違反となるのか。

A

適切な情報提供を行った上で改正後の法第 24 条第1項に基づく 本人の 同意を取得して外国にある第三者に個人データを提供した後については、当該提供先による個人データの取扱いを確認する義務はありません。そのため、当該提供先が、当該 外国の政府による個人データの提供の要請に対応したこと のみをもって提供元の事業者の法違反となる
ものではありません。

同意ではなく相当措置で海外提供した場合、当該提供先において、当該 外国の政府による要請に対応した個人データの 提供が認められるか否かは、個人データの性質や提供の必要性(外国 政府からの要請が外国の法令の要件を満たす適法なものかの確認を含 む 。 )等を踏まえた個別の事案ごとの判断が必要で あり、例えば、提供の必要性が認められないにもかかわらず、当該提供先が漫然と個人データの提供を行っている場合に
は、当該提供先による相当措置の実施に支障が生じていると評価される可能性が
あります。なお、提供元の事業者が、 当該 提供先に対して法第 23 条第5項第1号
に基づいて個人データの提供を行っている場合、 当該提供先に対する監督義務を
負いますので(法第 22 条) 、上記のように、当該提供先が提供の必要性が認めら
れないにもかかわらず、漫然と個人データの提供を行っている等の場合には、提
供元の事業者の監督義務違反となる可能性が あります。

No.4 Q

委託元事業者A が受託業者(国内事業) B に個人情報の取扱業務を委託し、その受託業者 B (国内事業)が法第 24 条第 1 項における外国にある受託業者 C に再委託を行った場合、法 24 条第 1 項、第 2 項の義務が課されるのは受託業者 B であり、委託元事業者 A には同条に基づく義務は課されないという理解でよいか。

A

個別の事案ごとに判断されますが、 例えば、 委託元 が国内の事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した 場合には、改正後の法第 24 条第1項及び第2項の義務 は、原則として 当該 委託先に課されると考えられ ます。 ただし、この場合でも、委託元は 当該 委託先に対する監督義務を負うため(法第 22 条)、 当該 委託先が再委託先に対して 適法に個人データの提供を行っているか等を含め、当該委託先による個人データの取扱いについて、 適切に把握し監督する必要があります。

No.5 Q

情報提供義務の前提となる対象情報を本人に特定してもらうことは可能か。

A

本人がこれに応 じる場合には、対象となる個人データを特定するに足りる事項の提示を求めることは可能であると考えられますが、本人に特定する義務があるわけではないことに留意が必要です
なお、事業者が本人に対して対象となる個人データを特定するに足りる事項の提示を求める場合には、改正後の法第 24条第3項の本人の求めに応じた情報提供の趣旨を踏まえ、特定に資する情報の提供その他本人の利便を考慮した適切な措置を講ずることが望ましいと考えられます。

No.6 Q

黙示の同意でもよいか?

A

個別の事案によるが、基本は明示の同意

No.8 Q

「外国の法令に準拠して設立され外国に住所を有する外国法人」に個人デー
タを提供する場合であって、当該外国法人が別の外国に自己の拠点(現地の
事業所、支店、自己の従業者のリモートワーク拠点等、同一法人格内の拠
点)を有しており、当該別の外国拠点においても当該個人データを取り扱う
場合、当該別の外国拠点での個人データの取り扱いについては、当該外国法
人が本社住所を有する外国において取り扱っているものと解されるとの理解
で良いか、考え方を明確に示して頂きたい。
また、当該外国法人がその事業のために別の外国にある自己以外の拠点(当
該外国法人グループの現地法人の拠点等)においても当該個人データを取り
扱わせている場合、当該別の外国拠点での個人データの取り扱いについて
は、その目的が当該外国法人の事業のためであっても、当該別の外国拠点に
対して別途「外国にある第三者への提供」が行われるものと解されるとの理
解で良いか、考え方を明確に示して頂きたい。

A 

改正後 の法第 24 条第1項における「 第三者 」 の 該当性は、 当該第三者 が法人で
ある場合は、法人格 を 基準として 判断 します。
そのため、例えば 、 日本に ある個人情報 取扱事業者 から提供を受けた個人デー
タの取扱いについて、外国にある 事業者が改正後の法第 75 条に 基づく 域外適用の
対象 となる 場合において、当該外国にある 事業者 が別の外国に有する支店等 の 同一 法人格 内の 拠点 に 当該 個人データを取り扱わせる場合には、 改正後 の法第 24 条第1項における「 外国 にある第三者」 への 提供に該当しません。
他方 で、上記の場合において外国にある 事業者 が 、 日本以外の国に所在する自己の 子会社 等の別 の 法人格を有する 拠点に 対して 当該個人データを提供する場合には、 改正後 の法第 24 条第1項における「 外国 にある第三者」 への 提供に該当します。

契約上規定すべき外国にある第三者の義務

No.25 Q

不適正利用の禁止(個人情報保護法16条相当)の「違法又は不当な行為」とは法(個人情報の保護に関する法律)その他の法令に違反する行為とあるが、この「法令」には当該外国にある第三者の所在国の法令を含むか。
また、当該所在国の法令が、我国(日本)の個人情報保護法に抵触する場合にも「法令」に含むものといえるのか。

A

日本の法令 をいい、提供先 の第三者 が 所在する外国の法令は 含まない ものと考えられます。

No.30 A(個人情報保護法24条相当の措置)

一般論として、日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いの委託をする場面において、法第 24 条の趣旨に沿った措置の実施が確保されているというためには、 ① 当該外国にある事業者による個人データの第三者提供を禁止するか、 又は ② 当該外国にある 事業者 から更に外国にある第三者に個人データの取扱いが再委託される場合には、再委託先である外国にある第三者においても、法第4章第1節の規定の趣旨に沿った措置の実施を確保する必要があります。

No.32 Q

日本の事業者が他の日本の事業者に業務委託し、当該委託先業者が海外の事
業者に再委託した場合に、最初の事業者には法第 24 条 3 項は適用されないと
いう理解でよいか。

A

個別の事案ごとに判断されますが、 委託元 が国内 にある 事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、 当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した場合 に おいて 、 委託先である国内にある事業者と再委託先である外国にある事業者との間の契約等により、施行規則第 11 条の2第1号の基準を満たすための「法第4章第1節の規定の趣旨に沿った措置」の実施が確保されている場合には、 改正後の法第 24 条第 3 項の義務 は、 原則として委託先に課されると考え られ ます。 ただし、この場合でも、委託元は委託先に対する監督義務を負うため(法第 22 条)、委託先が再委託先に対して必要かつ適切な監督を行っているか等について、適切に把握し監督す
る必要があります。

同意取得時の情報提供

No.36 Q

外国において、本人からの要請を受け、同一の外国にある第三者への個人デ
ータを提供する場合は、原則として、当該個人情報取扱事業者は、「同意取得
時の情報提供」を行う必要はないとの理解でよいか(例:シンガポール支店
個人情報取扱事業者である日本法人に帰属)が、本人からの要請を受け
て、同支店で保管する個人情報を、シンガポール現地の他の法人に提供する
場合)。
また、本人の要請を受けた場所が外国というだけでなく、要請を行った本人
が当該外国に居住する者である場合はどうか(例:シンガポール支店(個人
情報取扱事業者である日本法 人に帰属)が、シンガポールに居住する本人か
らの要請を受けて、同支店で保管する個人情報を、シンガポール現地の他の
法人に提供する場合)。

A

個別 の事案ごとに判断されますが、 本人の要請によって外国にある第三者に当該本人の個人データを提供する場合であっても、「外国にある第三者への個人データの提供を認める旨」の本人の同意を得ようとする時点において、当該本人が 、 提供先の第三者が所在する 外国の個人情報 の 保護 に関する制度に関する情報 、及び 当該第三者が講ずる個人情報の保護のための措置に関する情報を適切に認識していることを確認できた場合等の例外的な事由がある場合を除き個人情報取扱事業者は、改正後の法第 24 条
第2項により求められる情報を当該本人に対して提供する必要があります。この点は、本人の所在地や居住地が外国である場合にも同様です。

No.37 Q

委託先(国内企業)の再委託先が外国事業者であった場合、委託元が本人に
対して情報提供をする義務があるかどうかについて解説いただけることを望
みます。

A

個別の事案ごとに判断されますが、 例えば、委託元 が国内の事業者である委託先に対して 法第 23 条第5項第1号に基づき 個人データの取扱いを委託し、当該委託先が 委託に 伴って取得した 当該 個人データを、 外国 にある事業者に対して 再委託 に伴って 再提供 した場合には、改正後の法第 24 条第1項及び第2項の義務 は、原則として 当該 委託先に課されると考えられ ます。 ただし、この場合でも、委託元は当該委託先に対する監督義務を負うため(法第 22 条)、当該委託先が再委託先に対して適法に個人データの提供を行っているか等を含め、当該委託先による個人データの取扱いについて、適切に把握し監督する必要があります。

 

情報提供の方法

No.42 Q

情報提供の方法として事例 4 にある「必要な情報をホームページに掲載
し、本人に閲覧させる方法」を取る場合に、「我が国又は外国の行政機関
等が公表している情報」が掲載された行政機関等のホームページの URL
を、 事業者のホームページに掲載する 方法が認められると解してよい
か。

A

同意取得時の情報提供により、個人データの越境移転に係るリスクについての本人の予測可能性を向上させ、本人が同意の可否を適切に判断できるようにするという改正後の法第 24 条第2項の趣旨 を踏まえると、本人に対する情報提供は、改正後 の施行規則第 11 条の 3 第 2 項から第4項までの規定により求められ る 情報を本人が確実に 認識できる と考えられる適切な方法で行う必要があります。
個別の事案ごとに判断 されます が、 改正後の施行規則第 11 条の3第2項から第4項までの規定により求められる情報が掲載されたWebページ が 存在する場合に、当該Webページ のURLを 自社のホームページに掲載し、当該URL に 掲載された情報を本人に閲覧させる方法も、改正後の施行規則第 11 条の3第1 項における「 適切な 方法」 に該当する と考えられます。
なお、この場合であっても、 例えば 、当該 URLを 本人 にとって分かり やすい場所に掲載し た 上で、同意の 可否 の判断の前提として 、本人 に対して 当該情報 の確認を 明示的に 求めるなど、 本人 が 当該URL に掲載された情報を 閲覧 すると 合理的に 考えられる形で、情報提供を行 う必要 が ある と 考えられます。

 

No.43 Q

「事例4 )必要な情報をホームページに掲載し、本人に閲覧させる方法」と
されているが、これは、ホームページ上の本人が閲覧することが容易な場所
に必要な情報を掲載すれば当該方法に該当し、実際に本人が閲覧したことの確認までは不要との理解でよいか。仮に、これでは足りないとされる場合に
おいて、「本人に閲覧させる」とは、例えば、必要となる情報が掲載された画
面に1回程度の操作で遷移するよう設定したリンクやボタンを示すことでも
足りるか。

A

そのため、個別の事案ごとに判断 されます が、 ホームページ に必要な情報を掲載する場合においても 、例えば 、 必要な情報を 本人 にとって分かり やすい 場所に掲載し た 上で、 同意の 可否 の判断の前提として 、本人 に対して 当該情報 の確認を明示的に 求めるなど、 本人 が 当該 情報を閲覧 すると 合理的に 考えられる形で、情報提供を行 う 必要 が ある と 考えられます。

提供すべき情報

No.46 Q

海外ホテルの予約に伴う予約先ホテルへの提供など、実質的に本人が提供先
国名を認識している場合、明示的に外国の名称を同意取得時に明記していな
いとしても、法 24 条の同意を取得しているものと評価してよいか、ご教示い
ただきたい。

A

個別の事案ごとに判断されますが、 例えば、本人が移転先 の 外国を決めている場合のように、本人 が 移転先国の名称を認識していることが確実である場合には、事業者側から重ねて情報提供する必要はないと考えられます 。
もっとも、この場合でも、 提供先の第三者が所在する外国の個人情報の保護に関する制度に関する情報や、当該第三者が講ずる個人情報の保護のための措置に関する情報について、認識していないことが通常であると考えられる ため 、「外国にある第三者への個人データの提供を認める旨」の本人の同意を得ようとする時点において、当該本人が、 提供先の第三者が所在する 外国の個人情報 の 保護 に関する制度に関する情報、及び当該第三者が講ずる個人情報の保護のための措置に関する情報を適切に認識していることを確認できた場合等の例外的な事由がある場合を除き、個人情報取扱事業者は 、こ
れらの 情報を 当該 本人 に 対して提供する必要があります。

水町感想 旅行会社は膨大な作業量になりかねず、大変そう。

 

No.47 Q

1) 提供先の第三者が日本法人であって、当該日本法人の支店がインドにあ
り、提供した日本人の個人データがそのインドにある支店で取り扱われ
ている場合は、外国にある第三者への提供に該当しないと考えて良い
か?
2) また、提供先の米国法人が運営するデータセンターがインドにあり、日
本人の個人データがそのインドにあるデータセンターで取り扱われてい
る場合は、本人同意を取得するときに本人へ情報提供する外国名として
は米国で良いか?

A

1) 個別の 事案 ごとに判断 する必要があり ますが、 国内 にある提供元の事業
者が、 日本法人 の外国支店に直接個人データを提供する場合には、「 外国
にある 第三者」 への 提供に該当し 得る と 考えられます 。
2) 改正後の施行規則第 11 条の3第2項第1号の「当該外国の名称」における外国とは、提供先の第三者が個人データを保存するサーバが所在する外国ではなく、提供先の第三者が所在する外国を い います。そのため、御指摘 のケースでは 、「当該外国 の名
称 」として 米国である旨を情報提供することが求められます。
なお、提供先 の 第三者 が所在する 外国 の名称に加え、 当該 第三者が個人データを取り扱う サーバ の 所在国 についても 情報提供することは 、 望ましい 取組 であると考えられます。

No.48 Q

1「提供先の第三者が所在する外国」とは、提供先の第三者が法人や組合
の場合は当該第三者の登記 上の本店所在地がある国でよいのか確認したい
2その第三者の支店等がある国についても提供する必要があるのか、以下
の場合に分けて明示され たい。
①同一法人の支店
②同一法人の駐在員
③海外子会社
④海外関連会社
⑤組合の場合の組合員

A

1 国の名称」における外国とは、提供先 の第三者 が所在する 外国をいい、当該 第三者 が 法人である場合には、通常 、当該第三者の本店所在地 がある 国 が これに該当する と 考えられます 。
2 提供先 である外国にある第三者が別の国に 支店 や現地 子会社 等 を有する場合において、 当該支店や 現地子会社 等 を有する国の名称 について情報提供すべきかは日本 にある個人情報取扱 事業者 が直接 当該 支店や現地子会社等 に対して 個人データを 提供するものか 又は 外国にある第三者 を経由して提供するもの か 等の個人デ
ータの提供 の フロー や、 提供 され た個人データの 取扱状況 等を踏まえて個別 の事案ごとに判断する必要がある と考えられます 。
もっとも、 例えば、日本にある個人情報取扱 事業者 が 外国にある 第三者に 個人データ を 提供した上で 、 その後に 当該外国にある第三者が 当該 個人データを 別の 外国に所在する支店等に 再提供 し、 取り扱わせる 場合 において は 、 改正後 の法第 24 条第2項 、改正後 の施行規則第 11 条の3第2項第1号により 日本にある 個人情
報 取扱事業者 が 情報 提供する 必要のある 「 当該 外国の名称」 は、当該 外国にある 第三者 が 所在する外国の名称で あり、 支店等が所在する外国の名称 は これに該当しないと考えられます。

No.49 Q

「当該第三者が講ずる個人情報の保護のための措置に関する情報」の調
査方法について具体的な説明が無いが、例えば委託先に対して OECD8 原
則に対応する措置を講じる義務を委託契約等で課していれば、その旨を
情報提供すれば足りると解してよいか。

A

御理解のとおりです。

相当措置の継続的な実施を確保するために必要な措置 規則第11 条の 4 第 1 項関係

No.136 Q

<意見>
「外国の制度の有無及びその内容」を「適切かつ合理的な方法」で年1回以
上の頻度で確認するのは事業者にとって多大な負担である。
また、事業者ごとに提供する情報の時点や内容が異なることも考えられ、本
人がかえって混乱することが懸念されるため、個人情報保護委員会において
最新情報を提供していただきたい
個人情報保護委員会が最新情報を提供しない場合には、「適切かつ合理的な方
法」の水準の解釈は柔軟にされるべきである。
<理由>

外国にある第三者への確認は地理的要因等により事業者に多大な負担となる
可能性があることを懸念するため。また、事業者ごとに提供する情報が異な
ることにより本人が混乱することが懸念されるため。

A

改正後の法第 24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責 務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会 においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。

水町感想

確かに、事業者ごとに解釈の相違、情報が古い、事実認識の齟齬等が出かねない。

 

No.139 Q

「外国にある第三者による相当措置の実施に影響を及ぼすおそれのあ
る当該外国の制度」は、必ずしも個人情報の保護を目的とする法令に限られ
ず、たとえば安全保障や治安維持を目的とする法令や訴訟法令等に規定され
る可能性があり、広範な調査を要するおそれがある。そのため、個人情報取
扱事業者として、上記例示の行政機関等が公表している情報としてどの範囲
までを調査すれば「一般的な注意力をもって適切かつ合理的な方法により確
認」したことになるのか、目安をご教示いただきたい
(理由)
ガイドライン 案 72 頁では、【相当措置の実施に影響を及ぼすおそれのある
外国の制度に該当する事例】として、「事業者に対し政府の情報収集活動への
広範な協力義務を課すことにより、事業者が保有する個人情報について政府
による広範な情報収集が可能となる制度」と「事業者が本人からの消去等の
請求に対応できないおそれがある個人情報の国内保存義務に係る制度」の 2
つの事例が掲げられている。
しかし、規則第 11 条の 3 第 2 項第 2 号に係る情報は、対象国の個人情報の
保護に関する法令を調査すれば取得可能であるのに対して、上記の 2 つの事
例をはじめとする 「外国にある第三者による相当措置の実施に影響を及ぼす
おそれのある当該外国の制度」は、安全保障や治安維持等の個人情報保護に
限定されない様々な目的を有する法令や訴訟法令等に規定されている可能性があることから、その制度の存否を回答するためには対象国についての相当
数の法令を調査する必要があり、あまりに過大な負担となることが容易に想
定される
事業者に対する過大な負担とそれに伴う対応不足により本人に十分な情報
が提供されず本人の権利利益保護が不十分となることを防ぐため、貴委員会
にて当該情報を公表いただくことを強く求め る
また、公表予定の情報の内容、対象国及び公表時期についての貴委員会の
ご想定を回答いただきたい海外法制の調査は情報の取得が困難で長期の時
間を要する場合もあるところ、早期のご回答により、個人情報取扱事業者
しても公表予定のない情報に注力した情報の収集を行うことが可能となり、
結果として本人保護に繋がるものと考えられる公表いただく情報の対象国
として、特に、海外進出日系企業の拠点数や日本との貿易額の上位国につい
ては、情報を公表いただくことによる便益が極めて大きいものと思料され

そして、調査すべき法令の 範囲について目安を設定いただくことにより、
個人情報取扱事業者が重大な法令の見落としをすることなく、適切な調査が
可能となるため、本人保護のためにもこれを求める

A

改正後の法第24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。対象 予定国 や 公表に 向け た スケジュール等については、本年 の秋頃 を 目途 にお示しすることを 検討してまいります。
改正後の施行規則第 11 条の4第1項第1号の 「外国にある第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度」の 確認 については、 一般的な注意力をもって、 適切かつ 合理的な方法 による必要があり 、具体的な 方法 や調査の 範囲 については 、 個別の事案 ごとに 判断 する必要があると考えられます 。なお、「 適切かつ合理的な 方法」としては、 我が国又は外国の行政機関等が公表している情報を 確認する 方法のほか、提供先の外国にある第三者に対して 照会 する方法 等 も考えられます。

水町感想

あまりに的を射ている。あまりに論理的、説得的な文章で、この文章を作成できる方、すごいと思う。

 

No.140 Q

<意見>
外国の制度について、改めて、個人情報保護委員会からも情報提供いただく
ことをお願いしたい。事業者において提供先国に関する情報のリサーチをさ
せて保護の状況を把握させるとい う趣旨は理解できるが、各事業者個別に各
国法制度をリサーチさせるのではなく、当局から提示される情報をリサーチ
して把握するというのでも十分趣旨は達成され、非効率性や過度な負担も低
減される
<理由>
全ての提供先国の外国法制度を個別にリサーチすることは、事業者の規模も
大小様々であり、現実的には相当程度の負担となり得るもので、当局からの
情報提供を改めてお願いしたい。

Aは割愛(ほぼすべてのQに対して同様のAのため)

 

No.141 Q

(御意見)
個人情報取扱事業者が、データ入力等を委託する契約に基づき、外国にあ
る第三者(基準適合体制を整備している企業)に個人データを提供している
として、当該外国で、 72 ページ記載の事例1の制度注が存在する旨判明した
場合、事実上、それを解消又は改善するための必要かつ適切な措置を講じる
ことは極めて困難と考えられる。
そのため、事例1 のような制度が存在すること自体、相当措置の継続的 な
実施の確保が困難になるケースと同義であると考えるべきか
このような制度が存在する場合でもなお、当該外国の第三者による相当措
置の継続的な実施を確保するための必要な措置(当該支障の解消又は改善の
ために必要かつ適切な措置)として考えられる事例があれば、ご教示いただ
きたい
注)事業者に対し政府の情報収集活動への広範な協力義務を課すことによ
り、事業者が保有する個人情報について政府による広範な情報収集が可能
となる制度

A

一般論として、 提供先 の第三者が所在する 外国 において、 御指摘 の事例1のよ
うな制度が存在する場合においても、当該制度の存在自体により 、 直ちに 外国に
ある 第三者による 「 相当 措置の 継続的な実施の確保 が 困難とな った」に該当する
ものではなく、当該 第三者による個人データの取扱 状況 や、 当該 制度 の 運用の状
況等を踏まえ て、 外国にある 第三者による 相当 措置の 継続的な 実施の確保 が 困難
となったか否かを 個別の事案ごとに 判断する必要があると 考えられます 。

水町感想

的を射た質問。回答については、制度の運用状況を踏まえるというのは、かなり難しいところな気がする。。。

 

No.142 Q

(意見
三者において相当措置の実施状況を確認する際に、「書面により報告を受け
る方法又はこれらに代わる合理的な方法」とあるが、外形的な手続き面のみな
らず、事例として実質的な確認方法をガイドラインまたは Q A 等にて具体例
を示すべき
(理由
クラウド化が進む現在、外国にある事業者との関係において、ガイドライン
で標準的な方法を示す事で、より実効的な対応を促進する事が可能と想定され
るため。

A

提供先の 外国 にある第三者によ る相当措置の実施 状況 は、 当該 外国 にある第三
者 に 提供する個人データの 内容 や規模 に応じて 、適切かつ合理的な方法により 確
認する 必要がありますが 、 具体的な 確認の 方法 については、個別の事案における
具体的な事情 も 踏まえて 決定 すべきものであると考え られます 。

 

No.144 Q

【意見】
書面での確認だけでよいのか、何らかの監査の実施は不要か確認したい

A

一般論 として、相当措置の実施 状況について 書面による 報告を受け て確認 する方法も、 適切 かつ合理的な方法 に 該当し 得る と 考えられます 。

水町感想

一般論としては書面確認だけで良いとの回答。

 

No.145 Q

「確認」の方法として一番現実的なのは、提供先から書面による報告を受
けることであると思われるが、その内容が改正案で十分に示されておらず、
提供先にどのような照会をし、どのような報告を受けるべきかが明確ではな
いためである。

A

書面 によりどのような報告を 求める べきかについては 、 個別の事案ごとに判断する必要がありますが 、 例えば 、 提供元の 事業者が、 提供先 の外国にある第三者との間 で 契約 を 締結することにより当該提供先の基準適合体制 (法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基 準に適合する体制) を整備している場合には、 当該 契約の履行状況(履行に問題が生じた場合の当該問題の内容 や それに 対 して 講じた対応策等 を 含む。) について 、 報告を 求めることが考えられます

 

No. 147 Q

「相当措置の実施状況の確認」として、同一の企業グループ内で個人デー
タを移転する場合において、提供元(日本)および提供先(外国)に共通し
て適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整
備している場合、たとえば、欧州域内に所在するグループ会社のデータ・プ
ライバシー・オフィサーが各グループ企業のプライバシーポリシーの履行状
況を確認し、その確認結果を日本の提供元が確認することにより、相当措置
の実施状況を確認したとすることは可能か確認したい。

A

同一の企業グループ内で個人データを移転する場合において、提供元及び提供先に共通して適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整備している場合 において、 他のグループ会社が 当該 提供先 による当該 プライバシーポリシーの履行状況を確認している場合は、 当該 確認結果を確認する方法も、 当該 提供先による 相当措置の実施状況についての 適切 かつ合理的 な方法による 確認に該当すると考えられます。

水町感想

そりゃそうだろう。形骸化しているとかの特殊事情がない限り、Qにあるようなことができれば良いでしょう。

 

No.149 Q

<意見・理由>
 定期的な確認については、「外国にある第三者に提供する個人データの内
容や規模に応じて、適切かつ合理的な方法により確認する必要がある
が、例えば、個人データを取り扱う場所に赴く方法、書面により報告を
受ける方法又はこれらに代わる合理的な方法(口頭による確認を含む。)
により確認することが考えられる。」とあるが、
①「日本にある個人情報取扱事業者が、外国にある親会社に従業員情報
を提供する場合」において、提供する個人データの内容や規模によっ
ては、外国親会社の内規に基準適合体制が構築されているといえるだ
けの規則があるのであれば、外国親会社における情報管理部署におい
て内部点検が機能しており、また内部監査部門における監査が有効に
機能していることの、個人データの提供元である日本の個人情報取扱事業者(以下「提供元」)における口頭での確認のみによっても、ここ
にいう相当措置の実施状況に関する確認となりうるという趣旨と解し
てよいか
②「個人データを取り扱う場所に赴く方法、書面により報告を受ける方
法又はこれらに代わる合理的な方法(口頭による確認を含む。)」に
は、例えば次のような方法で報告を受ける場合も含まれうるか。な
お、いずれも報告結果については提供元において内容を精査し、必要
な場合には追加での確認を依頼するか、または提供元自身で確認する
ことを前提とする。
(ア)提供元の委託に基づき、外部の監査人または提供元の外国親会社
もしくはその子会社の従業員が個人データを取り扱う場所に赴い
て調査し、書面または口頭で提供元に報告する方法
(イ)提供元と提供先との間で合意した外部の監査人が個人データを取
り扱う場所に赴いて調査し、書面または口頭で提供元に報告する
方法

A

① 個別 の 事案 ごとに判断されますが、例えば、 内規 等により 提供先 の第三者が 基準適合体制 (法第4章第1節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制)を 整備している場合に、 当該 提供先において 当該内規等 の 遵守状況に関する 内部 点検が行われている場合には、 当該点検の結果を確認することも、 当該 提供先による 相当措置の実施状況についての 適切 かつ合理的な方法による 確認に該当すると考えられます 。
ただし、提供元の事業者は、 当該 提供先 による相当措置の実施状況を 確認 する必要があることから、 内部 点検が 適切 に 行われている ことのみ を確認する に とどま り、点検 の内容 等についての確認を行わない場合には、 当該 提供先による 相当措置の実
施状況についての 適切 かつ合理的 な方法による 確認 には 該当しないと考えられます。
② 個別 の 事案 ごとに判断されますが、御指摘の よう な 場合についても、 提供先による 相当措置の実施状況についての 適切 かつ合理的 な方法による確認に該当すると考えられます 。

水町感想

点検内容まで確認する必要がある。

 

提供すべき情報(規則第 11 条の4 第 3 項関係)

No.175 Q

【意見】
事例1 )で、「『事業者に対し政府の情報収集活動への広範な協力義務を課
すことにより、事業者が保有する個人情報について政府による広範な情報収
集が可能となる制度が存在する』旨の情報提供」が挙げられているが、具体
的にどういった場合が該当するのか明らかにされたい。
また、個人情報保護委員会が提供を予定している外国の制度の概要等の中
に、「当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国
の制度」についても含められたい。

【理由】
日本でも、令状に基づく個人情報の収集が認められており、令状がない場
合でも、事業者は任意に協力することが求められている個人情報保護法 23
条 1 項 1 号、刑事訴訟法 197 条 2 項等)。このことは多くの国においても同様
だと思われる。そうした制度すべてを記載することは必要ないと思われる
が、改正案の「広範な協力義務を課すことにより」や「広範な情報収集が可能となる制度」という例示は、非常にあいまいで明確でなく、事業者が提供
すべき情報の範囲を正しく判断することができない
そもそも、外国の制度概要等の情報提供を事業者ごとに行わせることは事業者にとって過大な負担となり、また社会経済的にも効率がよいとはいえず、個人情報保護委員会のような公的な機関等が必要な情報を取りまとめ、開示する方法が望ましい。また、本人への情報提供内容が事業者ごとに異なることにより、本人において情報提供に関する適切な判断が困難となる可能性がある。

A

「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」としては、本ガイドライン(外国にある第三者への提供編)案6-1に記載の事例1及び事例2のように、提供先の外国にある第三者との間で契約等を締結 している場合においても、当該外国の制度の存在により、当該契約等の履行が困難となる可能性があり、 我が国の個人情報取扱 事業者により 個人データが 取り扱われる 場合 に 相当する程度の本人の権利利益の保護 の確保に影響を及ぼす可能性がある制度を想定しています
個別の制度ごとに判断する必要がありますが、 例えば捜査機関による 情報収集を可能にする制度についても、我が国における制度 と比較 して、 本人の権利利益 の 保護の観点から 本質的な 差異があるもの でな い 場合 には 、 「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」 には含まれないと考えられます
改正後の法第24 条第3項 は、本人の権利利益の保護の観点から、個人データの越境移転後においても、提供元の事業者に、提供先の外国にある第三者による個人データの適正な取扱いを継続的に確保する責務があることを 明確化す る ものです。 そのため、かかる 責務を 果たす観点から、提供先 の 第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度について の 確認も、提供元の事業者の責任において 行っていただく べきものであると考えております。
もっとも、当委員会においても、 外国の個人情報の保護に関 する制度について、 事業者 の参考となる一定の情報をとりまとめて公表する予定で す。

 

No.176 Q

「外国第三者による措置実施に関する支障」に関する情報提供に関連して、
情報提供義務の対象となる「支障」はどの程度のものが想定されているので
しょうか。実際には、措置の実施に関する不備としては、廃棄方法の不備な
ど漏えいに直接つながりかねない重大なものから、定期的に実施される従業
員教育の一部の漏れといった軽微なものまで、さまざまなレベルのものが想
定されます。
(理由)
軽微なものまで情報提供義務の対象になると負担が重いので、範囲について
考え方を確認しておきたいと考えています。

A

改正後の法第24 条第3項における情報提供の趣旨は、情報提供により、本人が必要に応じて自己の権利利益の保護のための措置を講じられるようにすることにあります。
そのため、改正後の施行規則第11 条の4第3項第6号の「相当措置の実施に関する支障」についても、本人の権利利益の保護に影響を及ぼし得るものについて情報提供すれば足り、軽微な契約違反等について情報提供することは求められません