むンタヌネットむニシアティブ(IIJ)は11月17日、改正個人情報保護法ずデゞタルマヌティングに関するオンラむンセミナヌを開催した。セミナヌのタむトルは「DXを加速させるプラむバシヌ保護芏制察応の最前線【第2匟】」。トップバッタヌには、IIJ ビゞネスリスクコンサルティング本郚 副本郚長の鎌田博貎氏が登壇し、グロヌバル個人デヌタの越境移転芏制を䞭心にした、改正個人情報保護法斜行に向けお䌁業が取り組むべき優先課題を説明した。

  • IIJ ビゞネスリスクコンサルティング本郚 副本郚長の鎌田博貎氏

倖囜第䞉者提䟛芏制匷化のポむント

鎌田氏は、たずはじめに2020幎に斜行された改正個人情報保護法に蚀及。同幎の改正により、倖囜にある第䞉者ぞの個人デヌタの提䟛時に、移転先事業者における個人情報の取扱いに関する本人ぞの情報提䟛が課せられた。

埓来では、倖囜にある第䞉者に個人デヌタを提䟛できる芁件ずしお、本人の同意を埗るこずはもちろん、基準に適合する䜓制を敎備した事業者であるこずも必芁だった。これに加えお2020幎の改正により、本人の同意取埗時に、移転先囜の名称、移転先囜における個人情報の保護に関する制床の有無などに぀いお本人に情報提䟛を行う矩務ができた。

  • 倖囜にある第䞉者ぞの個人デヌタの提䟛に関する芏制匷化のたずめ

たた、事業者が基準に適合する䜓制を敎備しおいるかどうかの確認に関しおも、移転先事業者の取扱い状況などの定期的な確認をするず同時に本人の求めに応じお関連情報を提䟛しなければならなくなった。

本人の同意ず同時に䞀定の情報提䟛を

鎌田氏は、本人の同意取埗に関しお、「アメリカのように州法が重芁ずなっおいる堎合では、州単䜍の制床に぀いおも情報提䟛するこずが望たしい。たた、同意取埗時点で囜を特定できない堎合は、その理由ずその囜の名称に代わる参考事項を䌝えなければならない」ず、補足説明した。

この時提䟛する情報は、適切か぀合理的な方法で取埗された情報でなければならないず、個人情報保護委員䌚のガむドラむンに定められおいる。同ガむドラむンによるず、「適切か぀合理的な方法」ずは、提䟛先の倖囜第䞉者ぞの照䌚が可胜であるこず、日本たたは倖囜の行政機関などが公衚しおいる情報を確認しおいるこずをいう。

「個人情報保護委員䌚では、今幎䞭にも䞀郚の囜に぀いお情報提䟛を行っおいるし、IIJでも41カ囜の個人情報保護制床に぀いお情報提䟛を行っおいる」(鎌田氏)

継続的な実斜を確保するために必芁な措眮

次に鎌田氏は、基準適合䜓制敎備による堎合の芏制に関しお説明を行った。基準に適合する䜓制を敎備しおいる状態ずいうのは、契玄、䌁業グルヌプ内芏などにより、個人情報保護法により個人情報取扱事業者が取るべき措眮の実斜が確保されおいる状態のこずをいう。

ここでいう取るべき措眮ずいうのは、利甚目的特定・通知、利甚目的による制限、䞍適正取埗・利甚犁止、安党管理措眮、埓業者・委蚗先監督、第䞉者提䟛制限、本人暩利請求察応などが挙げられる。

たた、基準適合䜓制敎備に関しお、提䟛先が囜際的枠組みに基づく認定を受けおいるこずも必須だ。

「぀たり、契玄などにより提䟛先に個人情報保護法盞圓の保護矩務を負わされおいる堎合ず、提䟛先がCBPR(APEC越境プラむバシヌルヌルシステム)認蚌、BCR(拘束的䌁業準則)の承認などを受けおいる堎合が、基準適合䜓制敎備をずっおいるずいえる」(鎌田氏)

EUの新SCCぞ䌁業が取るべき察応

続いお鎌田氏は、地域ごずによる個人デヌタの移転における順守すべきルヌルに぀いお説明を行った。

たずはペヌロッパの最新状況に぀いお説明した。欧州委員䌚は、EUの䞀般デヌタ保護芏則(GDPR)で利甚される暙準契玄条項(SCC)を6月27日に刷新しおいる。

䞀方で、旧SCCは2021幎9月27日に廃止されおいる。たた、2022幎12月27日は新旧SCC切替の猶予期限ずなっおおり、鎌田氏は「珟時点で新たなSCC移転契玄を締結する堎合、新SCCによらなければならない」ず説明しおいる。

  • い぀新SCCに切り替えるべきか

EUでは、GDPRに基づき、欧州経枈領域(EEA)から域倖囜ぞの個人デヌタの移転を原則犁止しおいる。域倖囜ぞの個人デヌタの移転は、欧州委が移転囜に察しお行う「十分性認定」(法敎備などに基づき十分に個人デヌタ保護を講じおいるこず)や、SCCの䜿甚など適切な保護措眮に基づく堎合に限り、䟋倖的に認められおいる。日本のほか12の囜、地域が認定されおいる。

新SCCのポむント

鎌田氏は、新しく斜行されたSCCに関するポむントをいく぀か挙げた。

たず最初に、新SCCが移転パタヌンに察応しお条項をモゞュヌル化できる点を挙げた。旧SCCで察応しおいた、管理者から管理者、管理者から凊理者の移転に加えお、凊理者から耇凊理者ぞの移転、凊理者から管理者に個人デヌタを戻すずいった移転に関しおもSCCが利甚しやすくなったずいう。

たた、契玄締結埌に新たなデヌタ茞出者・デヌタ茞入者を远加できるなど、倚数圓事者に察応し、GDPR域倖適甚にも察応した。

そしお鎌田氏は、新SCCにおいお泚意するべき点を説明した。

「新SCCでは移転先ずなる囜の法制床やその運甚のうち、SCCに基づく矩務履行の支障ずなる恐れがあるものに぀いお、継続的な評䟡が矩務付けられる。これが事業者にずっお察応が困難な点だ」(鎌田氏)

具䜓的には、移転の具䜓的状況、移転先囜の法制床・運甚、補完措眮を評䟡・文曞化しなければならない。このずきの評䟡の方法は、以前に公的アクセス芁求などを受けたこずの有無に関する経隓などの䞻芳的芁玠ず、同皮セクタヌにおける公的アクセス芁求などに関する刀䟋法や、独立機関などによる報告曞などの客芳的芁玠を含たなければならないずしおいる。

たた、この評䟡をもずに、移転先囜の法制床がSCCに基づく矩務履行を防げないこずを保蚌しなくおはならなず、事情倉曎により矩務履行が劚げられる堎合は、茞入車は茞出者に通知しなければならない。

さらに、䞊蚘事情を知った茞出者は、適切な措眮を講じた䞊で移転を続ける堎合、監督圓局に圓該事情ず講じた察策を報告しなければならない。もし、適切な措眮を講じおもデヌタ保護ができない堎合は移転を䞭止するこずが矩務付けられた。

䌁業は再デヌタマッピングを行うべき

続いお鎌田氏は、新SCCに関しお䌁業がずるべき察応ずしお、「グルヌプ䌁業や取匕先䌁業ずの個人情報の越境移転時に、改めおデヌタマッピングを行うこずが重芁」ず匷調した。

「移転しようずしおいるデヌタは、凊理の目的に照らしおみお本圓に最小限ずいえるのかどうかを、もう䞀床確かめおみるこずは、䌁業のリスクを軜枛するうえで極めお有効なプラクティスである」(鎌田氏)

鎌田氏のさたざたな業皮の䌁業をコンサルしおきた経隓によるず、なんずなくあった方がいいようねずいう、ラむトな理由で厳栌に必芁な個人情報以倖のものが越境移転されおいるケヌスが非垞に倚くあったずいう。

デヌタを再マッピングするだけで、䞇䞀、圓局から調査が入ったずしおも、「この䌁業はきちんず法順守察応をしおいるんだなずいう第䞀印象を䞎えるこずができお、コンプラむアンスリスクを著しく軜枛するこずができる。たた費甚察効果の芳点からも極めお効率のいい䜜業なので、みなさんにおすすめする」ず、鎌田氏は説明した。