- プライバシーマーク(Pマーク)を取得するにあたり、海外のグループ会社と個人情報をやり取りすることに関して、気を付けるべきことを知りたい。
- 個人情報の海外移転に関するPマーク取得基準が、難しくてよく分からない。
- 海外のクラウドサービスの利用に関する条件を知りたい。
プライバシーマーク(Pマーク)取得を目指す企業の中には、将来的に海外への事業拡大を検討していたり、海外拠点やグループ会社に個人情報の取扱を委託をしているところも多いものと思われます。また、クラウドサービスを利用しているだけで、知らない間に個人情報を海外に送信していることも多いと思います。
そのような企業が、プライバシーマーク(Pマーク)を取得する場合、個人情報の海外移転をどうクリアするかが頭を悩ませる課題になるかもしれません。
本記事では、Pマークを取得する際にクリアしなければならない「個人情報の海外移転」に関する基準について詳しく解説いたします。
個人情報の海外移転に関するPマークの審査基準とは
Pマークの審査基準である「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下「構築・運用指針」と称します)は、「個人情報保護法」の要素も含んでおり、個人情報の海外移転に関しては、ほぼ法律ベースの基準を採用しています。
個人情報保護法において「外国にある第三者への提供が許可される状況」として以下のケースが示されています。
(1)日本と同等の個人情報保護制度が存在する国の場合
(2)個人情報保護委員会が定める基準に適合する事業者である場合
(3)一定の事項を開示した上で、本人の同意を得た場合
(4)クラウドサービスで個人データを取り扱わないこととなっている場合
さらに、これらのケースとともに、「外部環境の把握」も求められます。
「外国にある第三者への提供の制限」に関する要件は、法律やガイドラインにおいて説明が分散しており、理解が難しい部分もあります。そこで、下記で順を追って説明していきます。
(1)日本と同等の個人情報保護制度が存在する国の場合
個人情報保護法第28条によれば、「日本と同等の水準の個人情報保護制度を持つ国」として個人情報保護委員会規則で定められた国に対して、日本国内と同条件で個人情報の第三者提供が認められます(委託であれば本人同意は不要です)。
具体的には、EU加盟国および英国が該当します。
(2)個人情報保護委員会が定める基準に適合する事業者である場合
提供先(委託先)が個人情報保護委員会が定める基準に適合する体制を整備している場合も、個人情報の提供が認められます。ただし、以下の3つの全ての条件を満たす必要があります。
1)国内の個人情報取扱事業者が講ずべき措置に相当する措置(相当措置と言います)を継続的に講じるために、APEC CBPRシステムの認証取得を確認したり、相当措置の実施に関する契約を交わすなどを行うこと。
2)提供先の相当措置の継続的な実施を確保するために、その国における個人情報保護法制を定期的に確認し、相当措置の実施に支障がないようにし、それが困難となった場合には提供(委託)を停止すること。
3)本人からの求めがあった場合、提供先(委託先)の所在する国名やその国における法制度などの情報を遅滞なく提供すること。
(3)一定の事項を明示した上で、本人の同意を得た場合
以下の3点を事前に明示したうえで、本人の同意が得た場合には、個人情報の海外移転が許されます。
1)提供先(委託先)が所在する外国の名称
2)その国の個人情報保護制度に関する情報
3)提供先(委託先)が講じる個人情報保護のための措置に関する情報
(4)クラウドサービスで個人データを取り扱わないこととなっている場合
クラウドサービスを利用する場合に、それが海外のクラウド事業者であったり、海外のデータセンターを利用していることがあります。これらは通常は個人情報の海外移転にあたります。
そうすると、上記(1)(2)(3)の条件を満たす必要が出てきます。しかし実際にはその条件をクリアするのはかなり困難であり、今後はEUか英国以外の海外クラウドサービスは使えないとの判断になってしまうと思います。
ただし、ここで一つ抜け道がありました。クラウドサービスを利用する場合、国内/海外を問わず、そのクラウド事業者が自社の個人データを取り扱わないことが契約によって明確になっており、また適切にアクセス制限が実施されている場合には、そもそも提供にも委託にもならないとされます。
結果として、海外のクラウドサービスを利用していたとしても、そのクラウド事業者が自社の個人データを取り扱わないことが契約によって明確になっており、また適切にアクセス制限が実施されている場合には、個人情報の海外移転にも該当しないということになります。
参照:個人情報保護委員会Q&A Q12-3
海外移転における「外的環境の把握義務」について
先述した「外国にある第三者への提供が認められる場合」の4つの条件に加えて、「外的環境の把握義務」についても触れておきましょう。
「外的環境の把握義務」とは、個人情報を取り扱う国を明確に特定し、その国の個人情報保護制度を理解した上で、個人情報保護に必要な安全管理措置を講じることを指します。これは上記(4)のクラウドサービスの利用の場合であっても、対応する必要があります。
すなわち、海外クラウドサービスを使用している場合には、少なくともどの国のサーバーを利用しているのかを知り、外的環境の把握を行う必要があります。
とはいっても、国名くらいは明らかになったとしても、海外の法制度について、自社で調査するのは大変なことです。
そのため、日本の個人情報保護法を所管する個人情報保護委員会は、令和2年の改正個人情報保護法を施行するにあたり、事業者に参考となる情報を事前に提供するため、一定の国や地域の個人情報保護の制度について調査を行っており、調査結果をウェブサイト上で公開しています。
参考:個人情報保護委員会「令和2年改正個人情報保護について−外国における個人情報の保護に関する制度等の調査」
この中で、アメリカ合衆国や中国など、約30カ国の個人情報保護制度の調査結果がまとめられています。個人情報を海外移転される事業者は、外的環境の把握として参照することをおすすめします。
ここで一点注意点ですが、中華人民共和国における個人情報保護法制については、厳しい内容が報告されています。今後は中国本土の会社に対して個人情報を提供(委託)することは困難になってくるのではないかと思われます。
まとめ
本記事では、Pマークを取得するにあたり、個人情報の海外移転に関して押さえておくべき点について説明しました。
個人情報の海外移転(委託を含む)に関して、Pマークの審査基準で認められるケースは、個人情報保護法における「外国にある第三者への提供が認められる場合」に限定されます。
さらに、提供先国の個人情報保護制度を把握する「外的環境の把握」も不可欠です。
オプティマ・ソリューションズは、これまで2,000件以上のコンサルティング実績を基に、多様な業界の事業者様のPマーク取得をサポートしてまいりました。
その豊富な経験を活かし、海外拠点で個人情報取扱業務を委託している(または今後委託予定の)事業者様にも、最適なPマーク取得支援を提供いたします。
特に、個人情報の海外移転は、法令やガイドラインが分散していて理解しにくい分野ですので、どうぞお気軽にオプティマ・ソリューションズへご相談ください。
