インターネットイニシアティブ(IIJ)は11月17日、改正個人情報保護法とデジタルマーティングに関するオンラインセミナーを開催した。セミナーのタイトルは「DXを加速させるプライバシー保護規制対応の最前線【第2弾】」。トップバッターには、IIJ ビジネスリスクコンサルティング本部 副本部長の鎌田博貴氏が登壇し、グローバル個人データの越境移転規制を中心にした、改正個人情報保護法施行に向けて企業が取り組むべき優先課題を説明した。

  • IIJ ビジネスリスクコンサルティング本部 副本部長の鎌田博貴氏

外国第三者提供規制強化のポイント

鎌田氏は、まずはじめに2020年に施行された改正個人情報保護法に言及。同年の改正により、外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供が課せられた。

従来では、外国にある第三者に個人データを提供できる要件として、本人の同意を得ることはもちろん、基準に適合する体制を整備した事業者であることも必要だった。これに加えて2020年の改正により、本人の同意取得時に、移転先国の名称、移転先国における個人情報の保護に関する制度の有無などについて本人に情報提供を行う義務ができた。

  • 外国にある第三者への個人データの提供に関する規制強化のまとめ

また、事業者が基準に適合する体制を整備しているかどうかの確認に関しても、移転先事業者の取扱い状況などの定期的な確認をすると同時に本人の求めに応じて関連情報を提供しなければならなくなった。

本人の同意と同時に一定の情報提供を

鎌田氏は、本人の同意取得に関して、「アメリカのように州法が重要となっている場合では、州単位の制度についても情報提供することが望ましい。また、同意取得時点で国を特定できない場合は、その理由とその国の名称に代わる参考事項を伝えなければならない」と、補足説明した。

この時提供する情報は、適切かつ合理的な方法で取得された情報でなければならないと、個人情報保護委員会のガイドラインに定められている。同ガイドラインによると、「適切かつ合理的な方法」とは、提供先の外国第三者への照会が可能であること、日本または外国の行政機関などが公表している情報を確認していることをいう。

「個人情報保護委員会では、今年中にも一部の国について情報提供を行っているし、IIJでも41カ国の個人情報保護制度について情報提供を行っている」(鎌田氏)

継続的な実施を確保するために必要な措置

次に鎌田氏は、基準適合体制整備による場合の規制に関して説明を行った。基準に適合する体制を整備している状態というのは、契約、企業グループ内規などにより、個人情報保護法により個人情報取扱事業者が取るべき措置の実施が確保されている状態のことをいう。

ここでいう取るべき措置というのは、利用目的特定・通知、利用目的による制限、不適正取得・利用禁止、安全管理措置、従業者・委託先監督、第三者提供制限、本人権利請求対応などが挙げられる。

また、基準適合体制整備に関して、提供先が国際的枠組みに基づく認定を受けていることも必須だ。

「つまり、契約などにより提供先に個人情報保護法相当の保護義務を負わされている場合と、提供先がCBPR(APEC越境プライバシールールシステム)認証、BCR(拘束的企業準則)の承認などを受けている場合が、基準適合体制整備をとっているといえる」(鎌田氏)

EUの新SCCへ企業が取るべき対応

続いて鎌田氏は、地域ごとによる個人データの移転における順守すべきルールについて説明を行った。

まずはヨーロッパの最新状況について説明した。欧州委員会は、EUの一般データ保護規則(GDPR)で利用される標準契約条項(SCC)を6月27日に刷新している。

一方で、旧SCCは2021年9月27日に廃止されている。また、2022年12月27日は新旧SCC切替の猶予期限となっており、鎌田氏は「現時点で新たなSCC移転契約を締結する場合、新SCCによらなければならない」と説明している。

  • いつ新SCCに切り替えるべきか

EUでは、GDPRに基づき、欧州経済領域(EEA)から域外国への個人データの移転を原則禁止している。域外国への個人データの移転は、欧州委が移転国に対して行う「十分性認定」(法整備などに基づき十分に個人データ保護を講じていること)や、SCCの使用など適切な保護措置に基づく場合に限り、例外的に認められている。日本のほか12の国、地域が認定されている。

新SCCのポイント

鎌田氏は、新しく施行されたSCCに関するポイントをいくつか挙げた。

まず最初に、新SCCが移転パターンに対応して条項をモジュール化できる点を挙げた。旧SCCで対応していた、管理者から管理者、管理者から処理者の移転に加えて、処理者から複処理者への移転、処理者から管理者に個人データを戻すといった移転に関してもSCCが利用しやすくなったという。

また、契約締結後に新たなデータ輸出者・データ輸入者を追加できるなど、多数当事者に対応し、GDPR域外適用にも対応した。

そして鎌田氏は、新SCCにおいて注意するべき点を説明した。

「新SCCでは移転先となる国の法制度やその運用のうち、SCCに基づく義務履行の支障となる恐れがあるものについて、継続的な評価が義務付けられる。これが事業者にとって対応が困難な点だ」(鎌田氏)

具体的には、移転の具体的状況、移転先国の法制度・運用、補完措置を評価・文書化しなければならない。このときの評価の方法は、以前に公的アクセス要求などを受けたことの有無に関する経験などの主観的要素と、同種セクターにおける公的アクセス要求などに関する判例法や、独立機関などによる報告書などの客観的要素を含まなければならないとしている。

また、この評価をもとに、移転先国の法制度がSCCに基づく義務履行を防げないことを保証しなくてはならなず、事情変更により義務履行が妨げられる場合は、輸入車は輸出者に通知しなければならない。

さらに、上記事情を知った輸出者は、適切な措置を講じた上で移転を続ける場合、監督当局に当該事情と講じた対策を報告しなければならない。もし、適切な措置を講じてもデータ保護ができない場合は移転を中止することが義務付けられた。

企業は再データマッピングを行うべき

続いて鎌田氏は、新SCCに関して企業がとるべき対応として、「グループ企業や取引先企業との個人情報の越境移転時に、改めてデータマッピングを行うことが重要」と強調した。

「移転しようとしているデータは、処理の目的に照らしてみて本当に最小限といえるのかどうかを、もう一度確かめてみることは、企業のリスクを軽減するうえで極めて有効なプラクティスである」(鎌田氏)

鎌田氏のさまざまな業種の企業をコンサルしてきた経験によると、なんとなくあった方がいいようねという、ライトな理由で厳格に必要な個人情報以外のものが越境移転されているケースが非常に多くあったという。

データを再マッピングするだけで、万一、当局から調査が入ったとしても、「この企業はきちんと法順守対応をしているんだなという第一印象を与えることができて、コンプライアンスリスクを著しく軽減することができる。また費用対効果の観点からも極めて効率のいい作業なので、みなさんにおすすめする」と、鎌田氏は説明した。