〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

特集記事
Special Topics

個人情報保護委員会が情報提供していない国の法制度

2022年4月1日に施行された改正個人情報保護法において、外国の個人情報の保護に関する制度等の調査が必要となるケースが多くあります。例えば、外国のクラウドサービスやデータセンターの利用、外国のベンダへの委託、外国のグループ会社との情報共有、外国の会社や政府機関への情報提供などが典型的な場面です。
ところが、後述する40か国については個人情報保護委員会が法制度の調査結果を公表しているものの、それ以外の国について、民間企業が独自に外国の法制度を調査することは難しいように思われます。
そこで、牛島総合法律事務所では、外国の法律事務所に依頼して、以下の国・地域について、当該外国の個人情報保護法その他の個人情報の保護に関する制度について調査を行いました(最終更新:2022年9月16日)

本調査の背景事情等は、以下のとおりです。

外国の法制度を調査する義務

2022年4月1日に施行された令和2年改正個人情報保護法において、外国の個人情報の保護に関する制度を把握する必要が生じています。
具体的には、以下の場面です。

  • 23条(安全管理措置):通則ガイドライン(別添)10-7
    10-7 外的環境の把握
    個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
  • 32条(保有個人データに関する事項の公表等):通則ガイドライン3-8-1(1)
    (外的環境の把握)
    事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
  • 28条2項(「同意」に基づく外国にある第三者への個人データの提供)
    (規則17条2項)
    法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
    (1)当該外国の名称
    (2)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
    (3)当該第三者が講ずる個人情報の保護のための措置に関する情報
  • 28条3項(「相当措置」(体制整備)に基づく外国にある第三者への個人データの提供)
    規則18条1項)
    法第28条第3項(法第31条第2項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
    (1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
    (2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第31条第2項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。

個人情報保護委員会による情報提供

以下の31か国については、個人情報保護委員会がウェブサイトで調査結果を公表しています。
米国(連邦)、□米国(イリノイ州)、□米国(カリフォルニア州)、□米国(ニューヨーク州)アラブ首長国連邦(連邦)、□アラブ首長国連邦(ADGM)、□アラブ首長国連邦(DHC)、□ アラブ首長国連邦(DIFC)、□インド、□インドネシア、□ウクライナ、□オーストラリア、□カナダ、□カンボジア、□シンガポール、□スイス、□タイ韓国台湾、□中国、□トルコ、□ニュージーランド、□フィリピン、□ブラジル、□ベトナム、□香港、□マレーシア、□ミャンマー、□メキシコ、□ラオス、□ロシア

また、以下の9か国についても、個人情報保護委員会が、2022年4月28日に調査結果を公表しました。
イスラエル、□カタール、□コスタリカ、□チュニジア、□パナマ、□ペルー、□南アフリカ、□モロッコ、□モンゴル

牛島総合法律事務所による調査

しかしながら、個人情報保護委員会の調査ではカバーされていない国に個人データを移転する際には、独自の調査が必要となります。
そこで、当事務所がクライアントからご依頼を受けた国について、現地の法律事務所による調査結果を公表することとした次第です。公表を了承して下さったクライアント及び各国の法律事務所に厚く御礼申し上げます。
なお、当事務所は、調査結果の正確性や妥当性について責任を負いませんので、調査結果のご利用は自らのご判断で行っていただきますようお願い申し上げます。

本調査でカバーできるものと、カバーできていないもの

個人情報保護委員会の調査及び当事務所の調査は、前述の個人情報保護法23条及び32条の外的環境の把握、並びに28条の制度の調査をカバーすることを目的としております。これは、日本の個人情報取扱事業者が海外に個人データを移転した際に、本人がどのような保護が受けられるのか、また本人にどのようなリスクがあるのかを明らかにするものであり、(1)日本から外国への移転するために必要な調査ということになります。
しかしながら、企業が海外で個人情報を取り扱うための対応としては、これではカバーし切れていません。(2)現地で企業が個人情報を取り扱うために必要な現地法の規制をクリアすることと(3)現地から日本への移転の規制をクリアすることが必要となるためです。

(2)では、例えば、プライバシーポリシーやプライバシーノーティス等で、どのような情報を提供する必要があるか、個人情報の処理に同意が必要か法的根拠が必要か、当局への届出等が必要かなどが典型的に問題となります。
(3)では、外国に移転する際の規制をクリアするための契約(Data Transfer Agreement等)を締結したり、本人の同意を得たりする必要がある国が多く存在します。

牛島総合法律事務所では、これらの外国法制に対応したグローバルな情報管理体制の構築について、多数の経験を有しております。
データマッピングの支援から、グローバルなプライバシーポリシー、個人情報管理規程、各種細則やひな形等のドラフト、従業員教育までを、世界各国の法律事務所とのネットワークを活かして、各国弁護士のレビューを含めてワンストップで1つのプロジェクトとして遂行可能です

お問い合わせ

外国の個人情報の保護に関する制度、グループ企業内でのグローバルな情報管理体制の構築、GDPR・CCPA・中国個人情報保護法をはじめとする世界各国の個人情報保護法対応につきまして、以下からお気軽にお問い合わせ下さい。
お問い合わせ(担当:影島広泰)

※本稿は一般的な法令情報を提供するものであり、日本法以外の法に関するアドバイスや法的意見を提供するものではありません。

ニューズレターのメール配信はこちら