プライバシーテック研究所

改正個人情報で変わった?越境データ取り扱いで注意すべきこととは

2022.05.11

はじめに

「越境データ」の取り扱いは企業が想定していた以上に難しいようだ。4月の改正個人情報保護法の施行によって企業の越境データ取り扱い基準がより厳格化された。

これにより、企業は越境データの住み分けなどを含む外国の第三者にデータ提供する対応の見直しを行わなければならなくなった。また日経クロステックが書いているように、利用しているクラウドサービスの契約内容やサービス運用状況次第では越境データと見なされるケースも出てきた。

したがって、企業はデータ保管しているクラウドサービスとの契約内容や運用状況なども精査・整備しなければならない。このように、越境データの対応は非常に大きな労力とコストがかかることから、対応は想像以上に進んでいないようだ。

そこで今回は、越境データや個人情報保護法の改正に伴う越境データの取り扱いがどう変わったのか、具体的な対応策などを解説していく。

そもそも「越境データ」とは?

越境とは、国境を超えるという意。つまり「越境データ」は国境を超えて流通するデータを指す。

越境データは情報や検索履歴、企業間データなど様々な情報が含まれるが、インターネットの普及と国や企業、個人を結ぶWeb構築の拡大によって越境するデータは爆発的に増加している。

個人情報保護委員会が2019年3月に発表した「個人情報保護を巡る国内外の動向」によれば、越境データ量は2001年が毎秒1,608ギガビットだったのに対して、2016年には26.5万ギガビットと15年で165倍までに増加した。次に日本を起点とした越境データ状況を見ていく。国外ISP(インターネットサービスプロバイダ)などの交換トラヒックを見ると、2004年から2016年の12年間で国外から国内へ送られるデータ量は約50倍、国内から国外から送られるデータ量は約25倍と大きく増加している。

越境データの中でも近年、問題視されているのが企業のグローバル化や外資系企業・海外拠点の増加にともなう越境移転だ。

越境移転について

越境移転とは、個人データを外国の第三者が利用できる状態のことを指す。物理的に提供されていなかったとしても、ネットワークなどを介して個人データを閲覧・利用できる状態であれば個人データの越境移転に該当する。

個人情報保護を巡る国内外の動向」によれば、個人データの越境移転先としては海外拠点や関係企業が多く、越境移転する個人データとしては従業員の個人情報が約76%で、取引先の個人情報が約43%だった。

また、消費者の個人情報も越境移転の個人データとして含まれている場合もあり、約12%が日本から外国へ送られると発表している。

改正個人情報法保護法が施行が大きな転換点

2022年4月1日、改正個人情報保護法が施行された。GDPR(一般データ保護規則)に準拠しつつ、世界的な個人情報取り扱いの厳格化意識の高まりや技術革新によるデータ保護と利用のバランスなどを踏まえた法改正で、企業の個人データ取り扱い方法を大きく厳格化するものだ。

したがって、改正個人情報保護法に向けてユーザー側が準備することはないが、企業側はプライバシーポリシーなどの改定や運用プロセスの整備を行わなければならない。

今回行われた個人情報保護法の改正ではCookie規制が大きく取り上げられているが、海外へのデータ提供基準も大きく見直された項目の一つと見ていいだろう。基準の見直しによって、越境データの取り扱いは今まで以上に厳しいものとなっている。

結局、越境データはどう取り扱えばいいのか

ここでは個人情報保護法の改正で越境データすなわち個人データの越境移転への取り扱いがどう変わったのか見ていこう。

改正前

  • 本人の同意
  • 基準に適合する体制を整備した事業者
  • 日本と同等の水準国(イギリス・EU)

本人の同意が必要ではあるものの、詳細な情報提供は不要で、下の2項目を満たしていれば簡単に越境移転できる状態だった。

しかし、改正後は本人の同意はそのままに情報提供の充実が求められ、より基準が厳しくなっている。

改正後

  • 移転先の所在国名称の提示
  • 該当国での個人情報保護に関する制度の提示
  • 移転先が講じている個人情報保護の措置の提示

改正個人情報保護法で大きく変化した点は、本人の同意取得時にはより詳細な情報を提供しなければならなくなったということだ。これにより、ユーザーは自分の情報がどのように扱われるかを知ることができ、しっかりと内情を把握したうえで同意可否を判断できるようになる。

そのほか、「年1回以上移転先で適切に情報が取り扱われているかどうかの定期確認」や「適切な管理に問題が発生した場合の対応策の策定」が義務付けられた他、「個人データを提供している本人からデータの取り扱いや保管方法などの情報提供を求められた場合は応じる」ことも義務化された。

罰金も大幅に変更が加えられた。個人情報保護委員会からの命令違反をした場合、法人に科せられる罰金は改正前が30万円以下だったのに対し、改正後は1億円以下の罰金と大きく引き上げられた。

改正個人情報保護法への具体的な対応策

改正個人情報保護法への具体的な対応プロセスは以下のとおりだ。

  1. 法改正への影響確認
  2. 拡充された義務への対応
  3. リスク評価

各対応策について詳しく見ていこう。

1.法改正の影響確認

まず、越境データ関連のルールやプロセスなどが改正法に対応しているかどうかを精査しなければならない。

PwCは具体的な対応事例として、「個人データに関連する記録項目の見直し」や「拡充された記録項目に沿った個人データの棚卸し調査」を挙げている。

既存の記録項目を改正法の内容と照らし合わせ、追加や見直しなどの対応しなければならない必要があれば内容を更新していくという流れだが、1回実施すれば終わりというわけではない。

今回の改正法では、基準に適合する体制を整備している提供先で個人情報保護のための措置を継続的に講じる義務を課せられている。

したがって、適切な管理・運用の実効性を担保するためには、定期的な個人データの棚卸しを実施しなければならないとPwCコンサルティングは指摘している。

2.拡充された義務への対応について

影響確認後、改正法の基準を満たしていなければ、拡充された義務へ対応しなければならないのだが、具体的にどのような対応を取っていく必要があるのだろう。

ここでは拡充した義務への具体的な対応策について見ていく。

個人情報保護に関する情報提供義務への対応

前述のとおり、越境移転の本人同意を得る際には「移転先の所在国名称」「該当国での個人情報保護に関する制度」「移転先が講じている個人情報保護の措置」の提示が義務化されたが、これらは情報を記載すればすむため、すぐ対応ができるだろう。

ただ、プライバシーポリシーや通知などの内容は本人に分かりやすいものになってなければならないため、情報を提供する際はUX観点を考慮しておかなければならない。

また、情報提供したガイドラインやポリシー、手順などを定着させて正しく運用しなければならないため、説明会や勉強会などを定期的に開催して組織内で浸透させていく必要もある。

本人への情報提供義務への対応

改正法では本人の求めに応じて措置に関する情報の提供も義務付けられた。しかし、運用プロセスの整備が十分でなかったり、複数部署での連携が上手くいっていなかったりと多くの企業が対応に苦慮しているようだ。

本人から提供依頼を受けた際に迅速に対応・回答するためにはプロセスの整備が欠かせない。PwCは具体的に以下3ポイントを押さえておくべきだといっている。

  • 個人データの管理場所と利用状況の確認
  • 同意取得内容の把握
  • 利用停止が可能なデータであるか

まずは個人データの管理場所と利用状況の確認だ。

個人データがどこに格納されているかを確認し、管理をしている部署を特定し、格納しているデータベースが他システムと連携しているか、越境移転されているかを把握するステップとなる。

そのうえで、同意取得に本人が同意した日時や場所、取得目的と同意記録の管理場所を確認すれば、どのような管理をしているのかユーザーに正しく情報提供できる。

また、本人から同意の撤回を求められた場合は、利用停止できるデータであるかを確認し、同意撤回した場合の影響を把握するステップを上記プロセスに加えるとよい。

利用停止できるデータであった場合、利用停止前に同意撤回した場合の影響を本人に伝えることも大切だ。

3.リスク評価

リスク評価もしっかりと行わなければならない。本人の同意を得る際に移転先の所在国名称を提示しなければならなくなったが、信頼性のない国がデータ移転先だった場合、本人からの同意は得にくい。

また、データの保管先が特定できないPaaS(Platform as a Service)のようなクラウドサービスの場合も同様に同意を得にくいことから、リスク評価を行って同意取得が得られないような移転先にしないよう注意しなければならない。

同意取得率が得られにくい可能性がある場合は、別サービスの利用や保管先切り替えの検討、移転理由や移転シーンなどをしっかりと本人に説明し納得してもらう必要があるだろう。

ただ、根本的なことをいえば、データを越境させなければ海外へのデータ提供に関する対応は不要だ。したがって、対応が難しいというのであれば越境移転する必要はあるのか、国内のみで対応可能かどうかを社内で今一度議論するとよいだろう。

多くの企業で越境データへの対応ができていないのが現状

ここまで越境データへの具体的な対応策について紹介していたが、現状多くの企業で越境データへの対応はできていない。

2022年4月に改正個人情報保護法が全面施行されたが、施行直前の2022年2月にPwC が実施した調査によれば、改正法対応に着手済みと回答した企業は54%と約半数程度は施行目前にもかかわらず着手できていない。

また、対応完了あるいは全面施行までに対応する見込みと回答した企業は6割。半分とは行かないまでも多くの企業で法改正に対応できていないということになる。分野別の対応状況は、「社内規定や通知文書などの見直し」は60%以上と着手率が高いのに対して、「外国への第三者提供対応の見直し」は33%と非常に着手率が低い結果だった。

PwC 2022年4月施行 改正個人情報保護法への企業の対応状況(第2回調査)より引用(https://www.pwc.com/jp/ja/knowledge/thoughtleadership/personal-information-protection-law2.html)

全面施行が近づくにつれて対応企業は増加していくだろうといわれているものの、依然として低い数値には変わりない。なぜ、ここまで対応が遅れているのだろうか。

対応の阻害要因としては、人手・予算不足や専任者の不在が挙げられるが、その根底に挙げられるのが経営層の理解不足だ。

経営層がしっかりと関与していないため、人手不足を含む現場の課題が共有できず、適切な経営判断が下せないのが、対応が遅れている要因だ。

もう1つの要因としては、クラウドサービスの点検が挙げられる。日経クロステックが改正法の対策において「クラウドサービスの点検が想定外の難所だった」という声が企業から上がっていると報じた。

なぜ、想定以上に難所だったのか。結論からいえば「クラウドベンダーによって見解が異なる」からだ。

もう少し具体的に見ていこう。外資系企業が展開しているクラウドサービスでの個人データ処理は必ずしも越境移転とはいわない。

しかし、契約でベンダーが個人データへのアクセスをしないという取り決めや、アクセス制御によってベンダーがアクセスできないという技術的な担保がない場合は越境移転に含まれる可能性がある。

つまり、クラウドベンダーとの契約内容やサービス運用状況次第では越境移転と見なされて、越境データ取り扱い義務を果たさなければならないということだ。当然、クラウドベンダーの体制が基準を満たしているのか年1回以上確認する必要も出てくるため、ベンダーとの合意のうえで体制づくりを行わなければならない。

クラウドベンダーの見解が異なる以上、データの取り扱いや契約内容を棚卸しして、越境移転かどうか自社で個別判断し、必要に応じて協力を要請しなければならないというわけだ。

状況次第で利用サービスの変更検討や、クラウドベンダーごとに対策を講じなければならず、企業にかかる負担が大きいのも対応を阻害している要因といえるだろう。

CBPRの拡大に向けた宣言合意を発表

2022年4月21日、経済産業省と個人情報保護委員会は共同でCBPR(グローバル越境プライバシールール)拡大に向けた宣言に合意した。

CBPRとは、企業などの越境データ保護のためプライバシー原則が適合しているか認証するシステムだ。

もともとAPEC(アジア太平洋経済協力)の取り組みとして実施されていた。

しかし、安全性が確保された個人データの越境移転に向けて第三者機関による企業認証ニーズが増加。これを受け今回、APECの枠を超えた独立したフォーラムの立ち上げ宣言が合意された。

新しいフォーラムでは、データプライバシーの効果的な保護や各国のデータ保護関連規律の相互運用性の促進を目指すとしている。

まとめ

  • 越境データは国境を超えるデータのことで、個人データの越境移転とは「個人データを外国の第三者が利用できる状態」のことを指す
  • 改正個人情報保護法の施行で海外へのデータ提供基準も大きく見直され、企業の個人データ取り扱い方法がより厳格化された
  • 改正法ではユーザーに提供する情報の充実化が図られた他、年1回以上の運用上の確認義務や本人請求時の情報提供義務など企業に課せられる義務も大きく拡充している
  • データやサービスの棚卸しを行ったうえで越境データか判断し、改正法の基準項目と照らし合わせながら必要な対策を講じていく必要がある
  • 人手・予算不足や専任者の不在、越境データであるかどうか判断の難しさなども絡んで改正法への対応は想像以上に進んでいない

参考文献

改正個人情報保護法、4月1日施行

改正個人情報保護法 特集

平成29年版情報通信白書

個人情報保護を巡る国内外の動向

個人データの越境移転について

改正個人情報保護法に関する具体的な対応策 ―データ主体の権利強化とデータ利活用の促進

改正個人情報保護法が施行 海外クラウド利用は越境移転か

グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言をすることに合意しました

2022年4月施行 改正個人情報保護法への企業の対応状況(第2回調査)~改正法対応への課題