【2018年4月26日追記】
個人情報保護委員会が、「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案) 」を公表し、パブリックコメントに付しました(締切:2018年5月25日)。
ガイドライン案の詳しい内容は、こちらのページからご確認ください。
こんにちは。
今日のコラムは、GDPRの話題です。
今年5月のGDPR施行に向けて、準備を進めている企業も多いかと思います。
本日(2018年2月18日)の日本経済新聞は、第1面でGDPRについて報じていました。
企業の関心の高さがうかがえます。
GDPRに関する最近の重要な動きとしては、つい先日、個人情報保護委員会が、ガイドライン策定の「方向性」を発表しました。
個人情報保護委員会「EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について」(平成30年2月9日付)
そこで本コラムでは、この「方向性」について、現行の個人情報保護法とどのような違いがあるのか、気になる概要を解説します。
■GDPRとは?
まずは前提として、GDPRについて簡単におさらいしておきましょう。
GDPRとは、EU域内の個人データやプライバシーの保護について定める、「一般データ保護規則(General Data Protection Regulation)」の略語です。
(正確には、EU加盟国のほか、アイルランド、リヒテンシュタイン、ノルウェーも含みますが、本コラムではEUと略称します。)
GDPRは、今年(2018年)5月25日に施行され、EU域外の事業者にも適用されます。
日本企業でも、例えばEUに商品やサービスを提供している企業なども適用対象になり得ます(GDPR第3条2項参照)。
そのため、中小企業もふくめ、適用範囲は意外に広くなるものと思われます。
■十分性認定とは?
GDPRに関しては様々な論点がありますが、とくに気になるのは、日本が「十分性認定」を受けられるのかという点です。
十分性認定とは、EUから個人データを移転するに際して、移転先の国や地域が十分に個人データ保護を講じていると認定されること(ensure an adequate level of protection)をいいます(GDPR第45条参照)。
日本は、本コラム執筆時点(2018年2月中旬)では、まだ十分性認定を受けていません。
もし、このまま十分性認定を受けられなければ、企業によっては、EUから個人データの移転を受けるにあたって、標準契約条項(SCC:Standard Contractual Clauses)を締結したり、拘束的企業準則(BCR:Binding Corporate Rules)を承認することが必要となり得ます。
そのため、日本が十分性認定を受けられるか否かは、重要なポイントといえます。
私も昨年来、個人情報保護法に通じた研究者、実務家らと意見交換を重ねてきましたが、「十分性認定を受けるのは難しそう」といった意見も散見され、個人情報保護委員会がEUとの間でどのように“手を打つ”のか、動向が注目されていました。
■個人情報保護委員会の「方向性」
そのような中、冒頭でも書きましたとおり、個人情報保護委員会がガイドラインの「方向性」を発表しました。
これは、個人情報保護委員会が、欧州委員会と対話を重ねてきた結果、
・法令改正を行わない形での解決策について確認のうえ、
・平成30年第一四半期(=2018年3月末まで)に最終合意することを想定し、
・解決策として、EU域内から十分性認定により移転を受けた個人データの取扱いに関する「ガイドライン」を策定する
ことを表明したものです。
そのため、日本企業がEU域内から個人データの移転を受けるためには、このガイドラインに従うことが必要になるものと予想されます。
■ガイドラインの要旨
以下では、このガイドラインの「方向性(案)」を紹介し、現行法令とどこが違っているかを簡単に解説します。
(以下では個人情報保護法を「法」、同施行令を「令」、同施行規則を「規則」と略称します)。
ポイントは、
1 要配慮個人情報の範囲
2 保有個人データの範囲
3 利用目的の特定
4 日本から外国への個人データの再移転
5 匿名加工情報
の5点です。
以下、順に見ていきます。
1 要配慮個人情報の範囲
EUではセンシティブデータとして扱われる「性生活」・「性的指向」・「労働組合」に関する情報が、日本では要配慮個人情報に該当しない。
→ EUから移転された個人データについて、「性生活」・「性的指向」・「労働組合」に関する情報に関しては要配慮個人情報と同様の取扱いを行うこととする。
たしかに、現行法では、要配慮個人情報の中に、「性生活」・「性的指向」・「労働組合」に関する情報は含まれていません(法2条3項・令2条・規則5条参照)。
他方で、今回のガイドラインの方向性(案)では、EUから移転された個人データのうち、「性生活」・「性的指向」・「労働組合」に関する情報は、要配慮個人情報と同様の取扱いを行うことが予定されています。
具体的には、以下の取扱いが考えられます。
・取得の際に、原則として本人の同意が必要になる(法17条2項・規則6条・令7条参照)
・オプトアウトによる第三者提供が認められなくなる(法23条2項参照)
2 保有個人データの範囲
EUでは保有期間にかかわらず全ての個人情報について開示・訂正・利用停止等の請求権が認められるが、日本では6か月以内に消去することとなる個人データについては開示等の請求権が認められない(請求権が認められる保有個人データではない)。
→ EUから移転された個人データについて、6か月以内に消去することとなる個人データについても保有個人データとして扱うこととする。
たしかに、現行法では、6カ月以内に消去することとなる個人データは、開示等の請求権が認められる「保有個人データ」には該当しません(法2条7項・令5条)。
他方で、今回のガイドラインの方向性(案)では、EUから移転される個人データについては、6ヶ月以内に消去することとなる個人データも、保有個人データとして扱うことが予定されています。
もっとも、企業の管理コストを考えると、厳密に6ヶ月以内で区別した運用を行うよりも、すべての個人データを開示等請求権の対象として取り扱ったほうが適切な場合もあるかと思われます。
3 利用目的の特定
EU 側は、EU では第三者から提供を受けた個人情報の利用目的は、取得時に特定された利用目的の範囲に制限されるのに対し、我が国の個人情報保護法にこれを直接規定する条項がないことから明確化を求めている。
→ EU から移転された個人データについて、確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする。
たしかに、現行法では、第三者から提供を受けた個人情報の利用目的が、取得時に特定された利用目的の範囲に制限されるという明文の規定はありません。
(なお、合併等の事業承継に伴って個人情報を取得した場合については、明文の規定があります(法16条2項))。
また、個人データの第三者提供を受けた場合に、「取得の経緯」の確認・記録義務は定められていますが(法26条1項2号)、取得時に特定された利用目的の項目の確認義務までは明記されていません。
他方で、今回のガイドラインの方向性(案)では、EUから移転を受けた個人データについて、移転元における利用目的の定めを確認のうえ、その範囲内で利用目的を特定し、その範囲内で当該個人データを利用することが予定されています。
4 日本から外国への個人データの再移転
EU 側は、日本からEU 以外の外国への個人データの再移転について、保護レベルが確保されるよう明確化を求めている。
→ EU から移転された個人データについて、本人同意に基づき再移転する場合は、本人が同意するために必要な移転先の状況についての情報を提供し、提供先の体制整備をもって再移転する場合は、契約等により、個人情報保護法と同水準の保護措置を実施することとする。
現行法では、本人の同意を得て、外国にある第三者へ個人データを提供する場合については、外国にある第三者に個人データを提供することを明確にしなければならないとされており(ガイドライン外国第三者提供編2-1参照)、例えば、
・提供先の国または地域名を個別に示す方法
・実質的に本人からみて提供先の国名等を特定できる方法
・国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法
などが含まれ得ると解されていました(Q&A 9-2参照)。
また、提供先の体制整備をもって、外国にある第三者へ個人データを提供する場合についても、契約等により、日本の個人情報取扱事業者が講ずべきとされている措置に相当する措置を継続的に講ずることを担保できる方法が必要と解されていました(ガイドライン外国第三者提供編3-1参照)。
今回のガイドラインの方向性(案)は、一見すると、現行法で求められている内容と近いように読めますが、今後、現行法とどのような差分が示されるかに注意が必要です。
5 匿名加工情報
EU では、加工方法に関する情報が残存している場合、安全に分離保管されていても再識別の可能性があるとして匿名化とはみなされない。
→ EU から移転された個人データについて、個人情報保護法上の匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとすることとする。
たしかに、現行法では、再識別行為を禁止する趣旨の規定はありますが(法36条5項、法38条参照)、そもそも匿名加工情報として扱う場合に、加工方法の削除までは求められていませんでした(法36条1項・規則19条、ガイドライン匿名加工情報編3-2以下、事務局レポート4.1以下を参照)。
他方で、今回のガイドラインの方向性(案)では、EUから移転された個人データについて匿名加工情報として扱おうとする場合には、加工方法に関する情報の削除が予定されています。
■企業における対応
GDPRへの対応、特に十分性認定に関する対応については、企業の皆様からもよくご相談を頂きます。
これまで、企業レベルでどのように対応すべきかについては、必ずしも一義的に明確ではありませんでしたが、個人情報保護委員会が上記の「方向性」を示したことで、今後はこの「方向性」に沿って、プライバシーポリシーや社内規程の点検・改定を進めることになるものと思われます。
GDPRの施行まで、あと3カ月強。
冒頭でも述べましたように、実はGDPRは、中小企業にも広い影響力をもった規制といえます。
施行直前に慌てることのないよう、早めの準備を心がけてください。
【関連コラム】
・プライバシーポリシーの記載事項(個人情報保護法の改正をふまえて)
