今回はEEA(EEAの対象地域についてはこちらの記事を参照ください)から個人データ移転の際に遵守する必要のある「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取り扱いに関する補完的ルール」(とても長い名称なので、以降「補完的ルール」と略します)についてお話しします。この補完的ルールには下記の注意点があります。

  • 法的拘束力を有する規律であること
  • EUを離脱した英国からの越境にも適用される

補完的ルールは4つの項目ありますので、順番に説明していきたいと思います。

(1)要配慮個人情報に関する補完的ルール

最初に「要配慮個人情報」を説明します。日本の個人情報保護法第2条第3項には次のように記載されています。

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

一方でGDPRにおける「特別な種類の個人データ」(GDPR第9条)では「性生活、性的指向又は労働組合に関する情報」も含まれており、日本の要配慮個人情報との差分となっています。このため、補完的ルールではこれらの情報も要配慮個人情報と同様に扱うことが必要となります。

要配慮個人情報は、本人の事前の同意なく取得することができないだけでなく、オプトアウト方式による第三者提供も認められません。また、漏洩もしくはそのおそれが生じた場合は、仮に一人のデータであったとしても、個人情報保護委員会への届出が必要となります。性生活、性的指向のみならず、労働組合に関する情報も「特別な種類の個人データ」というあたりにも、EU法はしっかり守られているのだなぁと感じました。

(2)利用目的の特定、利用目的による制限

EUまたは英国領域内※1 から十分性認定に基づいて個人データの提供を受ける場合、その個人データの提供を受ける際に特定された利用目的・取得の経緯を確認して、記録する義務があります。その一次受けをした個人情報取扱事業者から更にその個人データの提供を受ける事業者も、同様の義務となり、目的範囲内での利用に限定されるものとなります。

利用目的確認、利用目的の範囲内での利用、取得経緯の確認と記録義務、どれもきちんと実施すれば実現できることですね。日本の個人情報保護法でも第三者提供の際には、下記の確認と記録義務が必須となります。

  • 提供元の氏名・名称
  • 取得の経緯
  • 本人の氏名等
  • 個人データの項目
  • 本人の同意(第三者提供が本人同意取得の場合、提供時の目的を超えて取り扱う場合)
  • 提供を受けた年月日(第三者提供がオプトアウトによる場合)
  • 個人情報保護委員会による公表(第三者提供がオプトアウトによる場合)

「越境」と「第三者提供」に必要なことを網羅していればおよそ実現可能な事と考えられるかと思います。

(3)外国にある第三者への提供の制限

EUまたは英国領域内※1 から、十分性認定に基づいて提供を受けた個人データを、日本国外の第三者に提供する場合は、提供した個人本人の同意を得ることが必要になります。例外として下記の条件があります。

  1. 外国にある第三者が日本と同等の水準の個人情報保護を有している国※2 として、規則で定めている国にある場合
  2. 日本と同等水準とするための合理的且つ適切な措置を実施している場合
  3. 個人情報保護法第27条第1項に該当する場合。(法令に基づく場合など、詳しくは法令文をご参照ください)

日本国外の第三国への転送先がアメリカだったらどうなるでしょうか?

前回ブログで説明しましたが、EU-U.S. Privacy Shieldの無効判決が出ている現在の状況では、aとbの実現は難しいのではないでしょうか?この辺り、インフラの構築やグランドデザインには注意が必要だと考えます。EEAから日本へ越境する個人データが、更にアメリカに越境する場合、すでにEU域内で摘発対象になっているサービスは日本を経由したからといって、OKになるわけではないので注意が必要です。

(4)匿名加工情報に関する条件

日本の個人情報保護法において「匿名加工情報」とは、元の個人情報を復元できないように加工した情報となります。ECはたくさんの業務と連携することが多い関係上、個人情報は1ヶ所のシステムにまとめることが多いと考えられます。他のシステムとの連携にはIDを利用するケースが多々ありますが、この場合、照合したら個人が特定できるようでは匿名加工情報にはなりません。

匿名加工に関する基準は「個人情報の保護に関する法律施行規則」の第34条に定められており、ガイドラインも出ておりますので詳しくはこちらを参照いただければと思います。

注意点としては、匿名加工情報は第三者提供を柔軟に行えるなど(付随した義務はあるので注意)利活用には便利なものですが、加工の方法に関する漏洩防止など様々な安全管理措置の義務があることです。これは「個人情報の保護に関する法律施行規則」の第35条に定められているのでご確認ください。

まとめ

  • EUまたは英国領域内※1 からの個人データ越境を、十分性認定で対応する場合、補完的ルールを守る必要がある。また、EUと同等の個人情報保護を担保できるGDPR各条文に対応した契約書は引き続き必要。
  1. 要配慮個人情報に関する補完的ルールは、性生活、性的指向のみならず、労働組合に関する情報に関しても要配慮個人情報としての扱いが必要
  2. 利用目的の特定、利用目的による制限に関する補完的ルールは、「取得の経緯把握」の確認や記録の義務、委託先の目的内での利用の義務がある
  3. EUまたは英国領域内※1 から提供を受けた個人データを、日本国外の第三者に提供する場合は、提供した個人本人の同意を得ることが必要
  4. EUまたは英国領域内※1 から、十分性認定に基づいて提供を受けた匿名化された情報は、匿名化された情報の個人を再識別する事が「不可能な場合」に限り、匿名加工情報としてみなすことが可能。また、定められた安全管理措置が必要

今回の説明の中で注意が必要と考えるのは「外国にある第三者への提供の制限」ではないかと思います。そもそも、「同意」が必要となるわけで、適正かどうか以前にどうやって同意を取るのかも簡単ではない課題と思います。いずれも専門の法律家の方へご相談いただく必要があるかと思います。また、様々なサービスやインフラがアメリカ企業であることを考えると、DPF(EU-U.S. Data Privacy Framework)の経過については引き続き注視していく必要があるかと思います。

最後に、EEA及び英国領域内の個人データを取り扱う事業者の方は運用や契約などGDPRの専門家にご相談いただくことを強くお勧めします。なお、私からお伝えしている情報はまだごく一部のものだと考えています。

※1 本記事中において、「補完的ルール」の原文が「EUまたは英国領域」という定義で書かれている都合上原文の言葉に即して書いておりますが、「EEAまたは英国領域」に置き換えて読んでいただければと思います。

※2 平成31年個人情報保護委員会告示第1号に記載されている以下の国となります。

アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キ プロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェ コ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、 ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、 ルーマニア及びルクセンブルク

※※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。