個人情報データの国際間移転について企業に求められる対応

1. プライバシー権保護の制度設計
2. 個人データの管理水準が日本と同等な国に所在する場合
3. 個人データの管理水準が日本と同等なレベルの事業者の場合

国際間の個人データ移転では、国及び地域における規制自体、あるいは個別企業における個人データの管理水準が日本と同様であれば、国内の第三者に対して提供しているものと見なす。そうでない場合には十分な個人データ保護ができるか不明であるため、取得時に外国にある第三者に対して提供を行うことを明確に伝えて本人の同意を得るなどの義務を課すことで、個人のプライバシー権保護を図る制度設計となっている。

まず「第三者が我が国と同等の水準と認められる個人情報保護制度を有している外国に所在する場合」である。一連の認定を行うのは個人情報保護委員会で、認められた国は法律施行規則に記載される。これは欧州連合（EU）が十分性認定に関して採用している方式と同様で、個人データの移転に問題のない国を限定し列挙するものだ。

実務的には個人データを移転する国や地域が特定できる場合に有効な条件と言えるが、自社内の個人データの物理的な保管場所を明確にすることが前提となる。例えばサーバ設置場所に関する情報をクラウドベンダーに問い合わせるなどの追加手続きが必要になることが予想される。

次に「外国の第三者が日本国内の事業者と同様の個人情報保護の措置を継続的に講ずる体制を整備している場合」である。個人情報の保護に関する法律施行規則案では（1）事業者と提供を受ける第三者において、適切かつ合理的な方法により日本の改正個人情報保護法に記載された措置の実施を確保すること、または（2）提供を受ける第三者が個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること──と定められている。

ガイドライン案では（1）の方法について委託先との個人データの取扱いに関する契約や確認書、覚書等、またグループ会社との共通で適用される内規やプライバシーポリシー等を挙げている。（2）の国際的な枠組みについては、アジア太平洋経済協力会議（APEC）のプライバシーフレームワークなどが例示として挙げられている。ただし（2）の加盟国増加にはまだ時間を要する。このため、当面の企業として対応すべき項目としては、（1）における委託先の監督強化および海外子会社を含めた企業グループ全体としての規定類に関する整備状況の確認や記載内容の見直しが求められる。

（保有個人データに関する項目は省略）

• 利用目的の特定
• 利用目的による制限
• 適切な取得
• 取得に際しての利用目的の通知等
• データ内容の正確性の確保等
• 安全管理措置
• 従業者の監督
• 委託先の監督
• 第三者提供の制限
• 外国にある第三者への提供の制限

KPMGコンサルティング
マネジャー　勝村 学

日経産業新聞　2016年11月11日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。