個人データを海外移転する場合、個人情報保護法以外も意識しないといけないですよね…。

でも、具体的には何をどう意識すればいいのか、なかなかわかりにくいなあ。

こんにちは。弁護士のワタナベです。

インターネット上におけるデータの取扱いには国境がないですよね。そこで今回は、データの越境移転に関するお話をできればと思います。

LINEの越境データ移転はなぜ問題になったのでしょうか。

1点目は、LINEが保有しているユーザーの個人情報が、中国の委託先の開発拠点から閲覧できる状態だった点です。これはデータの越境移転の問題となっているため、当時の個人情報保護法第24条（現行法では28条。以下同じ）との関係が、問題となりました。

ここでは「委託先に対して必要かつ適切な監督が行われていたか」「越境移転に関して当時の個人情報保護法第24条からみて適法であったか」という2つの観点が個人情報保護委員会で判断されました。

委託先に対して必要かつ適切な監督が行われていたかという観点からは、当時の個人情報保護法第22条（現行法第25条）の基づき指導・改善が求められています。

「越境移転に関して当時の個人情報保護法第24条からみて適法であったか」という観点では、当時の個人情報保護法第24条に基づき、「本人同意」「基準適合体制」の2つのポイントが争点となりました。基準適合体制に関しては、「一部改善を要する事項はあるものの、基準適合体制を整備するための措置が概ね講じられていた」とのコメントがあり、また、「本人同意」があったことも認められ、問題はなかったという判断が下されました。

2点目は、LINEの画像・動画データを韓国のデータサーバーに保存していた点です。海外のサーバーにこれらデータを保存していることがユーザーに対して知らされていなかったことが問題視されましたが、当時の個人情報保護法上は保存場所に関する規制はなく、問題はありませんでした。なお、ＬＩＮＥの問題発生後、個人情報保護委員会は、通則ガイドラインにおいて、安全管理措置に「外的環境の把握」を追加しました。

まとめとして、LINEの越境移転については基本問題なく、あくまでも、委託先の監督が不十分だったことが問題ということになります。個人データの保管国に関しては、当時の個人情報保護法では、基本的に規律はありませんでした。

2022年4月に施行された改正個人情報保護法にて、「越境データ規制」も改正されました。この越境データ規制に関する大きな項目と変更点を教えてください。

越境移転データに関する変更点としては、下記3点になります。

• 情報提供の充実（28条）
• 安全管理措置「外的環境の把握」の追加（23条、通則ガイドイラン10-7）
• 保有個人データの公表等に関する事項として「安全管理措置」の追加（32条）

・情報提供の充実（28条）

28条に関する規定が一番大きく追記された事項になります。

今まで、越境移転データに関しては、2022年4月の改正法施行前までは第24条の外国の第三者への提供制限として触れられていました。ここでは、「本人への同意取得」「基準に適合する体制整備をした事業者」「我が国と同党の水準の個人情報保護制度を有している外国」の3つのケースであれば、国を跨いだ個人データ提供が可能とされていました。

そして、令和2年個人情報保護法改正において、2つのケースがより具体化されました。

まず、本人への同意取得では、情報提供の充実として同意取得時に移転先の外国における個人情報保護に関する法制度等の情報提供をしなければいけなくなりました。

これは、個人情報保護法第28条（e-GOV法令検索　外国にある第三者への提供の制限（第二十八条））の2項に、「あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない」として追加されました。

次に、基準に適合する体制整備をした事業者に関しては、必要な処置の実施と、個人の求めに応じて情報を提供することが追加されました。

条文では、個人情報保護法第28条（e-GOV法令検索　外国にある第三者への提供の制限（第二十八条））の3項に、「個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずる」ことと、「本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない」との記載が追加されました。

・安全管理措置「外的環境の把握」の追加（23条）

安全管理措置は、「社内の個人情報管理って、一体どうすればいいの？」でお話ししましたね。改正以前の安全管理措置は、通則ガイドラインに記載がある、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つが基本でした。ここに、2022年4月から「10-7 外的環境の把握」が追加されました。

「外的環境の把握」が追加されたことで、個人情報取扱事業者が外国において個人データを取り扱う場合は、当該国の個人の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることが義務化されました。措置の具体的な内容については、個別事案に応じて判断する必要があります。

・保有個人データに関する事項で「安全管理措置」の追加（32条）

20条や28条で追記されたことを踏まえ、32条でも安全管理措置に関する追記と情報提供の充実に関する追記がされました。

なるほど。改正個人情報保護法により越境データに関しては、より規制が具体的に明記されたということですね！これには何か理由があるのでしょうか？

海外で個人の人権保護や産業の保護、国家の安全維持を行うために重要なデータを自国に留める規制「データローカライゼーション規制」が増えてきたことが大きいでしょう。データローカライゼーション規制が定められている代表的な国として、中国やロシアがあげられます。
データローカライゼーション規制が導入されることにより、個人データの越境移転によるリスクが高まり、個人データの移転先の状況について本人の予見可能性を高める必要があると考えられました。

越境データを扱う場合、企業はどのような対応を行えば良いでしょうか。

会社のプライバシーポリシーへの記載と、安全管理措置への対応、そしてデータの送り先の国の法制度のリサーチの3点になるかと思います。

プライバシーポリシーへの記載と安全管理措置に関しては、先ほどお話ししたように改正個人情報保護法により変更した3点を踏まえた追記と対応をすることになります。

しかし、越境移転先の国における法制度のリサーチは、なかなか一筋縄ではいきません。基本的には個人情報保護委員会の国際関係の調査等で公表されている情報を参考にして対応するのが良いと思います。もっとも、同情報で掲載がない国は、各企業で対応する必要があるのが現実です。

日本の企業が海外の子会社と個人データをやりとりする時に気をつけるべき点を教えてください。

まずは日本とEU圏の個人データのやり取りから説明していきます。EU圏であれば、日本は「十分性認定」を受けています。そのため、日本の個人情報保護法と一定の条件を満たしている場合であれば、個人データを越境移転することができるとされています。
次に日本から、EU圏以外の国・地域との個人データのやり取りですが、個人情報保護法第27・28条に従って対応していく必要があります。
EU圏以外の国・地域から日本へのデータ移転については、基本的には当該国・地域の法律が適用されるため、海外子会社等が主体となり、現地の弁護士への協力を求めながら、対応していくことことが基本になります。
とはいえ、日本にある本社へのデータ移転は業務上日々発生しており、海外子会社がある国の現地弁護士にヒアリングして対応していくことが、難しい場合もあります。もちろん、一般にセンシティブ情報に含まれるような医療情報の場合は適切に対応しなければいけません。

では、日本企業がインターネットを通じて海外の人の個人情報を直接取得するときはどうすればいいのでしょうか？

もちろん、取得先の国の法律を把握しておくことが必要になります。

例えば日本からEU圏にいる人の個人データを取得する場合で意識する法律には、GDPR第3条（GDPR（General Data Protection Regulation：一般データ保護規則） 地理的適用範囲（第三条））には「地理的適用範囲」と呼ばれるものがあり、大きく1項と2項に分かれています。

第3条1項は拠点基準と呼ばれ、取り扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者および所有者拠点の活動過程における個人データの取り扱いに適用されます。

第3条2項では「A データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービス提供」または「B データ主体の行動がEU 域内で行われるものである限り、その行動の監視。」に該当する場合は、GDPRが直接適用されてしまいます。

したがって、海外の子会社と個人情報のやり取りをする場合は、各国の法制度を適切に理解し、直接適用されるかどうかを慎重に検討することが重要です。判断が難しい場合には、データの取り扱いに詳しい弁護士に相談することが望ましいです。

なるほど！ありがとうございます。

いえいえ。またわからないことがあったら相談してください！