個人情報保護法改正－「個人データの越境移転」

　個人情報保護法改正案が２０２０（令和２）年６月５日に可決され、同月１２日の公布から２年以内に施行されることになっています（以下「２０２０年改正」と言います。）。
　本稿では、外国にある第三者に個人データを提供する場合（個人データの越境移転）の規定に関し、２０２０年改正で変更された点のうち、越境移転を予定している事業者にとって対応を求められる規定について概説します。

　現行法では、個人データの越境移転にあたっては、２３条１項各号に掲げる場合を除いて、あらかじめ外国にある第三者への提供について本人の同意を得なければならないとされています（現行法２４条）。
　ただし、例外の一つ目として、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」は外国から除外されます。
　また、例外の二つ目として、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」は第三者から除外されます。

　改正法のポイントとしましては、①本人の同意に基づいて越境移転を行う場合と、本人の同意がなくとも②移転先の第三者が基準適合体制を整備していることを根拠として越境移転を行う場合において、本人に対する情報提供を充実させ、また、事業者に一定の措置を講ずることを求める点にあります。
　つまり、①の場合、移転先の第三者における個人データの取扱いについて、本人への情報提供の充実が義務づけられることとなり（改正法２４条２項（新設））、②の場合、移転先の第三者が「相当な措置」の継続実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該措置の情報の提供を義務づけられる（改正法２４条３項（新設））ことになりました。

　まず、①本人の同意に基づいて越境移転を行う場合に提供すべき情報として、改正法２４条２項に、「当該外国における個人情報の保護に関する制度」、「当該第三者が講ずる個人情報の保護のための措置」、「その他当該本人に参考となるべき情報」が規定されています。この例として、「『個人情報の保護に関する法律等の一部を改正する法律』（令和２年改正）等について（下）」（村瀬光ほか・NBL №1177　15ページ以下）では、
　　　・提供先である第三者の所在する外国の国名
　　　・当該外国における個人情報の保護に関する制度の有無及び概要
　　　・当該第三者のプライバシー・ポリシー等
が挙げられています。
　また、②移転先の第三者が基準適合体制を整備していることを根拠として越境移転を行う場合に講ずべき措置の例として、前述の論説では、
　　　・当該第三者による当該契約の履行状況を確認すること
　　　・当該契約の履行と関係する当該外国の法令の制定改廃状況を定期的に確認すること　
　　　・当該第三者による当該契約の履行が困難な場合は当該第三者への個人データの提供を停止すること
が挙げられています。
　いずれの場合も、今後、規則やガイドラインなどによって基準がより明確になることが期待されます。
　個人データの越境移転を予定する事業者としては、移転先の第三者との間で個人データの取扱いに関する情報開示を請求でき、また定期的にこれを確認できる内容の規定を盛り込んだ契約を締結するなどの対応が必要です。

（２０２０年１２月執筆）