2015年個人情報保護法改正の法律施行令、施行規則案に関するパブリックコメント(5.規則案・外国にある第三者への提供)

 

個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について」の紹介その5です。今回は規則案の内、外国にある第三者への提供制限に関する部分です。同パブコメの政令案については、先の記事をご覧ください。

外国にある企業等に個人データを提供することについては、これまで、国内の第三者に提供する場合と異なる規制はありませんでした。2015年個人情報保護法改正では、外国にある第三者に対する第三者提供について、新たに制限を設けることにしました(改正法24条)。

第24条(外国にある第三者への提供の制限)
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

少し、わかりにくい規定ですが、原則は、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないということです。単なる第三者提供についての同意では不十分で、外国にある事業者等への第三者提供であることについて、同意を得なければならなくなることになります(23条1項で定められている例外の場合は、不要です)。

これについての例外がカッコ内にかかれていますが、ひとつ目は、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの、すなわち、個人情報保護に関して一定の水準を満たしていると規則で定められている国については、改正個人情報保護法24条の本人同意は不要であるということです。

ふたつ目も、個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者、すなわち、規則で定める基準に適合する事業者等については、改正個人情報保護法24条の本人同意は不要となります。

ふたつ目の基準についての規則は以下のとおりです。

第11条(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
法第24条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。

1 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
2 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

次の各号のいずれかによる、とされていますので、どちらかを満たせばよいということになります。1号については、おそらく契約等により、個人情報保護法で個人情報取扱事業者に要求されている内容を順守させるようなことが想定されているのでしょう。2号については、APECのCBPR制度に基づく認証を受けた事業者等について適用外とすることを想定しているようですが、どのような認証であればいいのかは、この規則では明らかではありません。

いずれにせよ、EUの域外への個人情報の提供と比較すると緩やかな規制になりそうです。