【個人情報保護法第24条・平成27年法律第65号附則第3条・則第11条】外国にある第三者への提供の制限 2017/01/03
法令解説ブログバックナンバーリスト(個人情報保護法・マイナンバー法・ストレスチェック制度・議員秘書規則・女性活躍推進法)
執筆・寄稿・取材(宝島社・毎日新聞社・日本経済新聞社・小学館・Yahoo!ニュース)
著書『図解とQ&Aですっきりわかるマイナンバーのしくみ』(宝島社)=33,000部=トーハン調べ2015/11/4週間ベストセラー単行本ビジネス書6位
共著『入門 マイナンバーの落とし穴ー日本一わかりやすい解説』(毎日新聞出版)=7,000部
講演
22. 外国にある第三者への提供の制限
(外国にある第三者への提供の制限)保護法第24条
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
(外国にある第三者への提供に係る本人の同意に関する経過措置) 平成27年法律第65号附則第3条 施行日前になされた本人の個人情報の取扱いに関する同意がある場合において、その同意が新個人情報保護法第24条の規定による個人データの外国にある第三者への提供を認める旨の同意に相当するものであるときは、同条の同意があったものとみなす。 |
個人データの外国にある第三者への提供の制限に関する規定は、現行の各企業の適切な移転手続きが合法であることを明確化するため、平成27年法律第65号第2条により新設された。
出典:個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
個人情報取扱事業者が個人データを外国にある第三者に提供する場合は、次のいずれかの要件を満たさなければならないこととする。
① 当該提供についての本人同意を得ること【第24条】
② 第23条第1項各号に該当すること【第24条、平成28年委員会告示第7号】
イ 法令に基づく場合(法令には外国の法令は含まれない。)
ロ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(例えば、海外の遠隔地で海外旅行保険の契約者に保険事故が発生し緊急の対応を要する際に、保険者が委託をしている海外現地のクレームエージェントに情報提供を行う場合等が考えられる)。
ハ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
ニ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
③ 我が国と同等の水準にあると認められる個人情報保護の制度を有している国として委員会が定める国にある第三者に提供すること。【第24条】
様々な国において制度の見直しが行われていることもあり、また、詳細かつ多角的な
調査・検討が必要であることから、今後、継続的に検討することとされている(現時点で、規則で定めている国はない)。
④ 当該第三者が保護法の規定により個人情報取扱事業者が講じなければならないとされている措置に相当する措置を継続的に講じるために必要なものとして次のいずれかに該当する基準に適合する体制を整備していること。
イ 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。【則第11条第1号】
(1) 提供元及び提供先(外国にある第三者)間の契約、確認書、覚書等において、提供先が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を講ずることが担保されていること【平成28年委員会告示第7号】
(2) 提供元及び提供先(外国にある第三者)が同一の企業グループであり、当該グループのプライバシーポリシー等において、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を講ずることが担保されていること
ロ 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。例えば、アジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システムなどをいう。【則第11条第2号、平成28年委員会告示第7号】
なお、平成27年法律第65号第2条の施行日前に個人データの外国にある第三者への提供を認める旨の同意に相当する同意がある場合、第24条の規定による同意があったものとみなされる。【平成27年法律第65号附則第3条】
外国にある第三者に該当する事例【平成28年委員会告示第7号】
外資系企業の日本法人が外国にある親会社に個人データを提供する場合、当該親会社は「外国にある第三者」に該当する。
外国にある第三者に該当しない事例【平成28年委員会告示第7号】
① 日系企業の東京本店が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は「個人情報取扱事業者」に該当し、「外国にある第三者」には該当しない。
② 日本企業であって、外国の法人格を取得している当該企業の現地子会社の事業所、支店など同一法人格内での個人データの移動の場合には「外国にある第三者」への個人データの提供には該当しない。
第4章第1節の規定の趣旨に沿った措置【則第11条第1号、平成28年委員会告示第7号】
出典:個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
(※1)法第4章第1節の各規定と国際的な枠組みの基準(OECDプライバシーガイドライン及びAPECプライバシーフレームワーク)とを対比した上で、当該各規定の趣旨が当該国際的な枠組みの基準に整合していると解される場合に「○」と記載している。
(※2)従業者の監督については、APECプライバシーフレームワークに規定はないものの、安全管理措置(法第20条)の一部であることから、外国にある第三者においても措置を講じなければならない。
(※3)苦情の処理については、APECプライバシーフレームワークに規定はないものの、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度であるAPEC越境プライバシールール(CBPR)システムに参加する事業者の参加要件となっていることから、外国にある第三者においても措置を講じなければならない。
保護法の趣旨に沿った措置(抜粋)【平成28年委員会告示第7号】
① 第15条「利用目的の特定」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約において、外国にある事業者による利用目的を特定する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、就業規則等において利用目的を特定する。
② 第16条「利用目的による制限」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、従業員情報を就業規則において特定された利用目的の範囲内で利用する。なお、利用目的の範囲を超える場合には、当該従業員の同意を得る必要があるが、その場合、日本にある個人情報取扱事業者が同意を取得することも認められるものと解される。
③ 第17条「適正な取得」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、外国にある親会社が内規等に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
ハ 要配慮個人情報に係る規制については、国によっていわゆるセンシティブ情報の対象は異なり得ることから(OECDプライバシーガイドラインの説明覚書(1980年))、国際的な整合性にも鑑みて、「措置」を講ずることは要しない。
④ 第18条「取得に際しての利用目的の通知」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、日本にある個人情報取扱事業者が従業員に対して利用目的の通知等をする。
ハ 外国にある第三者等は、個人情報を取得する場合は、あらかじめその利用目的を公表していることが望ましい。公表していない場合は、取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければならない。
⑤ 第19条「データ内容の正確性の確保等」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うこととする。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、日本にある個人情報取扱事業者を通じて従業員情報の正確性を確保する。
ハ 保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。また、外国にある第三者等は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。
⑥ 第20条「安全管理措置」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により外国にある親会社が安全管理措置を講ずる旨を規定する。
ハ 外国にある第三者等は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
⑦ 第21条「従業者の監督」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約により外国にある事業者の従業者の監督に係る措置を規定する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により外国にある親会社の従業者の監督に係る措置を規定する。
⑧ 第22条「委託先の監督」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により外国にある親会社の再委託先の監督に係る措置を規定する。
⑨ 第23条第1項、第2項、第5項、第6項「第三者提供の制限」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により外国にある事業者からの個人データの第三者提供を禁止する。
ハ 「外国にある第三者」から、別の「第三者」に提供する際には、第23条第1項、第5項、第6項の趣旨に沿った措置を講じなければならない。
ニ 第23条第5項各号による委託、事業承継又は共同利用に伴って、外国にある第三者に個人データを提供するときであっても、本条が適用される点に留意が必要である。
ホ オプトアウトによる個人データの第三者提供(第23条第2項から第3項まで)は、個人情報保護委員会への届出等を定める規定であるため、その性質上、外国にある第三者等が講ずべき措置からは除外される。
⑩ 第24条「外国にある第三者への提供の制限」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、委託契約により外国にある事業者からの個人データの第三者提供を禁止する。外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、第22条の委託先の監督義務のほか、第4章第1節の規定の趣旨に沿った措置の実施を確保する。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により外国にある親会社からの個人データの第三者提供を禁止する。外国にある親会社から更に他の国にある子会社等に個人データを移転する場合にも、内規等により第4章第1節の規定の趣旨に沿った措置の実施を確保する。
⑪ 第27条「保有個人データに関する事項の公表等」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。
⑫ 第28条「開示」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が開示に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が開示に係る義務を履行することについて明確にする。
⑬ 第29条「訂正等」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が訂正等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が訂正等に係る義務を履行することについて明確にする。
⑭ 第30条「利用停止等」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が利用停止等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が利用停止等に係る義務を履行することについて明確にする。
⑮ 第31条「理由の説明」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が理由の説明に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が理由の説明に係る義務を履行することについて明確にする。
⑯ 第32条「開示等の請求等に応じる手続」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が開示等の請求等に応じる手続を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が開示等の請求等に応じる手続を履行することについて明確にする。
⑰ 第33条「手数料」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が手数料に係る措置を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が手数料に係る措置を履行することについて明確にする。
⑱ 第35条「個人情報取扱事業者による苦情の処理」
イ 日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務を委託する場合、提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が法第35条に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
ロ 日本にある個人情報取扱事業者が、外国にある親会社に従業員情報を提供する場合、内規等により、日本にある個人情報取扱事業者が法第35条に係る義務を履行することについて明確にする。
⑲ 則第11条第2号「個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること」
「個人情報の取扱いに係る国際的な枠組みに基づく認定」とは、国際機関等において合意された規律に基づき権限のある認証機関等が認定するものをいい、当該枠組みは、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることのできるものである必要がある。これには、提供先の外国にある第三者が、APECの越境プライバシールール(CBPR)システムの認証を得ていることが該当する。
APEC CBPRシステムとは、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度。APECの参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティエージェント(AA)を登録する。このAAが事業者について、その申請に基づきAPECプライバシーフレームワークへの適合性を認証する。
平成27年法律第65号施行日
平成29年5月30日【平成27年法律第65号附則第1条本文、平成28年政令第385号】