「データ保護規制の最前線」第7回目。
個人データの域外移転にあたり、事業者が移転先のリスク評価や消費者の関心に応えるための対応策について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
個人データ域外移転に必要な措置
令和2年改正個人情報保護法では、海外にある第三者への個人データの提供に関する改正が行われた。個人データ取扱いの透明性を高めるため、個人データを域外移転する際、移転先でどのような保護を行っているかといった情報の提供を事業者に義務付けた。折しも、外国にある委託先で個人データへのアクセス管理に不備があったとする事案が発生した。個人情報保護委員会が委託元に指導したほか、委託元が提供するサービスの安全性に消費者が疑念を抱く事態となったため、事業者・消費者双方の関心が高まっている。
個人情報保護法は従来から域外移転の要件を定めている。本人からの同意取得、移転先との契約の締結や国際的な認証の取得といった基準適合体制の整備、日本と同等の保護水準にあると個人情報保護委員会が認めた国への移転のいずれかの方法に基づいて対応する必要があった。多くの事業者は、基準適合体制の整備に基づいて域外移転を行っているケースが多いとされる。
改正法では、これに加えて域外移転のための情報提供を本人に対して行うとしたが、域外移転の方法に応じて提供すべき情報が異なっている点は注意を要する。たとえば、基準適合体制の整備に基づいて移転する場合には、7項目について情報提供を行う必要がある。
欧州でも2018年にGDPR(EU一般データ保護規則)が施行され、本人同意や移転先との契約の締結による移転、域外移転のための情報提供を本人に行うことを求めている。
個人データ保護のために事業者がやるべきことは多く、中でも域外移転は、移転先が多くなることに比例して負担が増える。事業者はデータマッピングや移転先のリスク評価を行い、域外移転の状況や今後の計画を適切に把握する必要がある。そのうえで、各国の規制で認められた方法に基づいて域外移転を行うことになる。
これらの対応を効率化するため、事業者は各国の規制で共通する事項を域外移転の際に実施すべき事項として社内ルールで定め、対応することが考えられる。運用時は各事業部門の対応に重複がないよう、リスク管理部門が中心となって各事業部門と連携し、移転先のリスク評価や消費者の関心に応えるために情報提供を行えるプロセスを構築・維持することが重要となる。
<個人情報の域外移転に関する主な要件>
| 情報提供の項目 | 同意取得の場合 | 基準適合体制の場合 |
|---|---|---|
| 移転先の外国の名称 | ● | ● |
| 移転先の外国における個人情報の保護に関する制度についての情報 | ● |
ー |
| 移転先の第三者が講ずる個人情報の保護のための措置に関する情報 | ● |
ー |
| 移転先の第三者による基準適合体制の整備方法 | ー | ● |
| 移転先の第三者による相当措置の概要 | ー | ● |
| 移転先の第三者による相当措置の実施状況などの確認の頻度および方法 | ー | ● |
| 移転先の第三者による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無およびその概要 | ー | ● |
| 移転先の第三者による相当措置の実施に関する支障の有無およびその概要 | ー | ● |
| 移転先による相当措置の実施に関する支障に関して移転元が講ずる措置の概要 | ー | ● |
執筆者
KPMGコンサルティング
シニアコンサルタント 山本 将之
日刊工業新聞 2021年11月19日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
