―　海を越えた個人情報はどうなる？　―

日本国内で、個人情報を取り扱う場合は、日本国内の法律が適用されます。

しかし、グローバル社会となった現在、日本国内だけで情報の移動が完結する例はむしろ少なくなってきており、インターネットとそれに伴うサービス、それらを利用する様々なデバイスが爆発的に普及した現状では、自分に関わるデータ自体がどこに存在するのかさえ把握しきれていないのではないでしょうか。

 

 

個人情報が国内と海外で行き来する例として以下のようなものがあります。

■外国の人向けにWebサイトをオープンし、商品を販売する。

■日本国内で集めた情報を、海外の（子）会社に移転する場合、支店に移転する場合。

■日本法人が、海外のサーバにデータを保管する。

■海外法人の日本支社が日本で集めた情報を海外に移転する。

この他にもいろいろなパターンがありますが、今回は、日本の法律、海外の法律や世界を取り巻く環境について解説をして行きます。

 

＜国や地域をまたいで個人情報を移転する場合、海外の法律・規制として代表的なもの＞

 

１．EU

・EU個人データ保護指令

・EU個人データ保護規則（2018年～）

「EUデータ保護指令」では、EU域内から個人データを第三国に移転できるのは、EUから見て十分なレベルの保護措置を確保している場合のみに限定しており（十分性の認定）、日本はこの“十分性の認定”は得られていません。多くの日本企業は、標準契約条項、本人同意により対応しているのが現状です。

平成27年9月に公布された改正個人情報保護法により“十分性の認定”は認められると言われていますが、2018年から発効する「EU個人データ保護規則」では、それが認められるかは不明です。

 

2.　アメリカ

EU域内からアメリカへの個人データの移転に関しては、米国商務省とEUがセーフハーバー協定を締結し、米国商務省が認定した米国企業への個人データの移転が認められていました。しかし2015年10月欧州司法裁判所により無効の判断がなされる、という事態も起きています。

 

3.　OECD

「プライバシー保護と個人データの国際流通についてのガイドライン」（プライバシーガイドライン）　1980年策定

2013年7月、改正により新たな規定が加えられました。国家的なプライバシー戦略、プライバシーマネジメントプログラム、データセキュリティ侵害通知、説明責任を果たす組織および強化されたプライバシー執行といった概念の導入。

 

4.　APEC

・プライバシー・フレームワーク（2004年採択）

・越境プライバシールール（CBPR）（2007年策定）

・越境執行協力協定（CPEA）

「APECプライバシーフレームワーク」とは、APEC加盟エコノミーにおける整合性のある個人情報保護への取り組みを促進し、情報流通の為の不要な障害を取り除くことを目的とした規制です。

「越境プライバシールール（CBPR）」とは、国を超えて個人情報が移転しても適切に保護することを目的とし、企業等が個人情報に関するルール、体制等に関し自己審査を行い、認定された認証団体（アカウンタビリティ・エージェント）から審査を受け、認証を得る、というものです。日本では、一般財団法人日本情報経済社会推進協会（JIPDEC）がこの認証団体（アカウンタビリティ・エージェント）に認定されています。これにより、日本企業等の越境個人情報の取り組みに対して、APECのCBPR認証を付与することができるようになりました。

 

5.　欧州評議会

欧州評議会条約第108号

「現代化の提案」により、デジタル分野におけるプライバシー保護の強化と条約のフォローアップの仕組みを強力なものにすることを目的として、見直しが行われています。

 

6.　日本

国外での個人情報の収集、利用等については、日本の個人情報保護法は適用されず、その国の法律に委ねられています。

国内で収集した個人情報については、「第三者提供の制限（個人情報保護法23条）」により、“第三者”が日本国内の者か、国外にある者かを問わずに同法が適用されます。

改正個人情報保護法においては、この23条に加えて新たに「外国にある第三者への提供の制限」が設けられています。この場合、下記①②のいずれかに該当する場合以外は、原則として本人の同意をあらかじめ取得しなければなりません。

①当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報保護委員会規則で定められた国にある場合

②当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として個人情報保護委員会規則で定める基準に適合する体制を整備している場合

 

このように事業として海外に個人情報を移転するような場合は、各国の法律や規制に対応する必要があります。

しかし、海外への事業展開という明確な意志の基に行うケース以外でも、クラウドや、インターネット上のアプリケーションなど、ビジネスでも個人でも日常的に利用しているのではないでしょうか。こういった場合の利用において、データの国外移転に関してユーザーはほとんど意識をしていないでしょうし、法律や規則も明確に対応しているとは言えない状況もあります。とは言え、今後このような状況はますます進み、複雑になって行くと考えられます。個人情報のみならず、情報管理、リスク対策等の観点からも、それらのサービスの利用について改めて考えてみる必要があるのかも知れません。