日本 |
本稿では、日本国外の事業者が日本国内にある個人の個人情報を取り扱う場合に特に留意すべき日本の個人情報保護法(以下「APPI」)の規制について場面ごとに紹介する。
そもそもAPPIの適用があるのか
域外適用がなければ、そもそもAPPIの規制を考える必要がない。この点に関してAPPIは、事業者が、日本国内にある法人/個人に対する物品又は役務の提供に関連して、日本国内にある個人(以下「データ主体」)の個人情報等を、外国で取り扱う場合には、APPIが域外適用されると定める(APPI第171条)。
「事業者」は、国内事業者か外国事業者かを問わない。「日本国内にある個人」は、データ主体の国籍を問わず、滞在が一時的か否かも問わない。ポイントは、物品又は役務の提供に関連する場合に限定されている点である。
例えば、外国の事業者が、全世界における従業員情報の管理の一環として、日本国内の支社の従業員の個人データを取り扱ったとしても、物品又は役務の提供に関連しないので、APPIの域外適用を受けない。
個人データの越境移転規制
前述のとおり、国内向けのサービスを展開する際に国内の顧客情報を取得すればAPPIの適用を受ける。取得の方法は、データ主体から直接取得する、国内の事業者から提供を受ける、というものが考えられるが、特に、国内の事業者から提供を受ける場合に、複雑な規制が課される。この場面で複雑な規制が課されるのはあくまで国内の事業者であるが、この複雑な規制が国内の事業者にとってのハードルになるので、外国の事業者もこの規制を把握しておくことは重要である。
具体的には、国内の事業者がデータ主体の個人データを外国に所在する第三者に移転させる場合(以下「越境移転」)、国内事業者は、データ主体に外国に関する具体的な情報を提供した上で(以下「参考情報」)、外国の第三者に個人データを移転させることについて事前にデータ主体の同意を得ておく必要がある(APPI第28条)。
-
提供する情報:
-
(当該外国の名称:同意を得る時点で提供先の外国が特定できていない場合は、その理由、提供先の外国の名称に代わる情報(例えば外国の範囲が具体的に決まっていればその範囲)を提供することになる。
-
当該外国における個人情報の保護に関する制度の情報:国内と国外の法制度の差をデータ主体に認識させるためのものである。日本の個人情報保護委員会(以下「PPC」)が主要な外国の制度の概要を調査の上公開しており、ここに掲載される情報を提供することで対応できる(https://www.ppc.go.jp/enforcement/infoprovision/laws/)。ここに掲載されていない外国が提供先の場合、国内の事業者は、まずは提供先の外国の事業者に自国の制度について照会をかけることになるだろう。
-
提供先が講ずる個人情報の保護のための措置に関する情報:提供先がOECDプライバシーガイドライン8原則に対応する措置を全て講じていれば、その旨を情報提供すれば足りる。提供先の措置が不明な場合は、その旨とその理由の情報提供をすれば足りるが、判明次第、説明を追加することが望ましい。
-
-
外国の範囲:EU及びイギリスは、APPI第28条における「外国」から除かれ、APPI上は国内という扱いになる。APPIでは提供先が国内の第三者であっても、原則としてデータ主体の同意を得た上で個人データを提供する必要があり(APPI第27条第1項)、いずれにしても規制の対象となるが、国内の第三者に提供する場合の規制はそこまで複雑ではない。
-
第三者の範囲:相当措置を講じている事業者はAPPI第28条における「第三者」から除かれる。具体的には、提供先の外国にある事業者が講ずる措置が、APPIで国内の事業者に求められる措置をクリアしていることが確認できる場合か、提供先の外国にある事業者が、APEC (Asia-Pacific Economic Cooperation)の CBPR (Cross Border Privacy Rules)システムの認証を取得している場合に、相当措置を講じている事業者に該当する。
また、相当措置を講じている事業者に当たるとして、APPI第28条に基づく同意を得ずに、外国の事業者に個人データを提供する場合であっても、提供元の国内の事業者は、提供後も提供先において相当措置が講じられていることを確認するため、相当措置の継続的な実施確保に必要な措置(年1回以上の確認等)を講じなければならず、提供元の負担が大きい。相当措置に関する定めはあまり使い勝手の良いものとはいえない。
-
違反に対する制裁:上記の規制に違反した事業者に対しては、PPCが、その違反行為の是正措置を勧告し、勧告に従わない場合は命令をする(APPI第148条)。違反した事業者がこの命令にも従わない場合には、その違反行為をした者は1年以下の懲役又は100万円以下の罰金に処され、その違反行為をした者を雇う事業者は1億円以下の罰金に処される(APPI第178条、第184条第1項第1号)。
個人データの漏えい等の規制
ランサムウェア等の攻撃等により個人データの漏えい、滅失、毀損等(以下「漏えい等」)が発生した場合に、APPIが求める対応として、PPCへの報告及びデータ主体への通知がある(APPI第26条)。
-
対象となる事態:以下の事態の場合に、PPCへの報告及びデータ主体への通知が必要になる。
-
要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態:要配慮個人情報とは、データ主体の人種、信条、社会的身分、病歴、犯罪歴等のセンシティブな情報である(APPI第2条第3項参照)。
-
不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態:クレジットカード番号等も併せて漏えい等した場合である。
-
不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態:第三者からの攻撃を受けて漏えい等した場合である。
-
個人データに係るデータ主体の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
-
-
漏えい等が発生した事業者において報告・通知を行うことは当然として、問題は委託先で漏えい等が発生した場合である。原則は、委託元と委託先の両方が、報告・通知を行うことになるが、報告等の重複を避けるため、委託先が委託元に漏えい等が発生した旨を通知すれば、委託先は報告・通知の義務が免除される。
-
PPCへの報告の方法:
-
速報:(1)の事態の発生を知った時から、概ね 3~5 日以内にその時点において、次項(ii)①~⑨のうち把握している内容を報告する。
-
確報:(1)の事態の発生を知った時から、30 日以内〔(1)(iii)の事態においては 60 日以内〕に、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③漏えい等が発生し、又は発生したおそれがある個人データに係るデータ主体の数、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑥データ主体への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項を報告する。
-
原則として、PPCのホームページの報告フォーム(https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata)に入力する方法により行う必要があるが、日本語での対応になるため、特に速報においては翻訳の時間も考慮しなくてはならない。
-
-
データ主体への通知の方法:
-
時間的制限:PPCへの報告と異なり、当該事態の状況に応じて速やかに通知をすることが求められる。タイミングは個別の事案毎に判断することになる。
-
通知の内容:PPCへの報告が求められる内容〔(3)(ii)〕のうち、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑨その他参考となる事項である。
-
(文書や電子メールでデータ主体に直接通知することが想定されているが、データ主体の連絡先がわからないなど、データ主体に直接通知することが困難な場合には、公表等の方法によって代えることができる。
-
-
418(5)PPCへの報告・データ主体への通知を怠った場合の罰則等は、「個人データの越境移転規制」の(4) と同じである。
本稿では、外国の事業者が日本国内にある個人の個人データを取り扱う場合におけるAPPIの一般的な規制の枠組を概説した。外国の事業者も、日本国内にあるデータ主体の個人データを保護するためにAPPIの各条項を遵守することが重要である。
弁護士法人中央総合法律事務所
Hibiya Kokusai Building, 18th floor
2-2-3, Uchisaiwaicho, Chiyoda-ku
Tokyo, 100-0011, Japan
電話番号: +852 2926 9300
電話番号: +81-3-3539-1877
ファクス: +81-3-3539-1878
www.clo.jp/