個人データの取り扱いを海外のグループ企業や、その他第三者に行わせることを検討しています。個人情報保護法上、どのような制限があるのか教えてください。
-
1 外国にある第三者への提供に関する原則的なルール
外国にある第三者に個人データを提供する場合、国内事業者に個人データを提供する場合とは別の規制が適用されます。
(国内の第三者に個人データを提供する場合、一定の例外があるものの、本人の同意が必要とされます(法23条))。
なお、「提供」とは、個人データ、保有個人データ又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいいます(ガイドライン・通則編)。個人データを外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないことが原則です(個人情報保護法24条)。
なお、国内事業者への提供の場合と同様に、以下の場合には、同意取得は不要です(法23条第1項各号、法24条)。
- 法令(日本法)に基づいて個人データを提供する場合
- 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
- 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
- 国の機関等が法令(日本法)の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合
2 委託、事業承継、共同利用の場合も同意の取得が必要ですか。
国内の第三者に個人データを提供する場合、委託、事業承継、共同利用にともなうときには、本人の同意を不要としています(法23条第5項各号)。
しかし、外国にある第三者に提供する場合には、このルールが適用されませんので、委託、事業承継、共同利用のときにも同意の取得が必要です。
3 どのような同意が必要になるでしょうか。
外国にある第三者に個人データを提供する場合、同意を取得する際には、事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならないとされます。
つまり、単に第三者に提供することの同意では不十分であり、「外国にある第三者」に提供すること、どこの国または地域の第三者に提供されるのかがわかる方法で同意を取得することが必要です。
米国やEU加盟国など、提供先の国又は地域名を個別に示して同意を取得する方法や、本人が外国旅行を申し込むなど、自ら個人データの提供先を決めており、実質的に本人からみて提供先の国名等を特定できる方法が必要といえます。
4 第三者にグループ企業が含まれますか。
グループ企業が第三者に含まれるかどうかは、個人データを提供する個人情報取扱事業者と法人格が同じかどうかで判断されます。
例えば、個人データの提供先が、個人情報取扱事業者の親会社や子会社である場合、法人格は別であるので、外国にある第三者に該当し、同意を取得する必要があります。
他方、個人データの提供先が現地の事業所や支店である場合、法人格は同一であるので、外国にある第三者に該当せず、同意取得は不要です。5 外国事業者が運営するサーバを使用していますが、この場合も第三者に含まれますか。
サーバの運営事業者がサーバ内の個人データを取り扱わない場合(契約条項によって個人データを取り扱わないことが定められていて、適切なアクセス制御がされている場合)、「第三者」には該当しません。
このため、この場合には法24条に従った同意取得は不要です。6 特定の外国については、同意取得のルールが適用されないと聞きましたがどのような外国ですか。
「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」については上記のルールが適用されません。
これは個人情報保護委員会が指定しています。現在、EUと英国が該当しています。
EUと英国に個人データを提供する場合には、法24条は適用されません。
(もっとも、この場合、法23条にしたがって、国内の第三者に提供することと同様の手続きが必要です。)7 個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に提供する場合には同意取得のルールが適用されないと聞きましたが、どのような場合ですか。
「個人情報保護委員会規則で定める基準に適合する体制を整備している者」に個人データを提供する場合、外国にある第三者に提供するときでも同意取得が不要です(法24条)。
この基準は、規則第11条の2により、以下のいずれかに該当することとされます。①個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること
②個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。①について適切かつ合理的な方法による措置の実施が必要となります。
具体的には、外国にある第三者との間で、個人情報保護法第4章第1節に規定されている遵守事項(法第15条から第35条の義務)を明記した契約、確認書、覚書、内部規則等を締結することが必要です。②については提供先の外国にある第三者が、APECのCBPRシステムの認証を取得していることが必要とされます。