2022年4月1日に2020年改正個人情報保護法(2020年改正法)が施行した。外国企業や自社傘下の海外拠点に個人情報を移転した場合の義務が強化される。越境移転の対応は、主要クラウドベンダー間でも見解が異なると分かった。
2020年改正法の対策を進めた企業にとって「想定外の難所だった」と声が上がるのがクラウドサービスの点検だ。外資系企業のサービスで個人情報を処理することが必ずしもデータの越境移転に当たるわけではない。クラウドベンダーとの契約内容とサービス運営の状況、自社がどう利用しているかで個別に判断する必要がある。
一般に越境移転で対策が必要になるのは、海外拠点でのデータ処理や顧客サポートなど人手が介在する個人データ(個人情報を含めて集積されたデータベース)の業務委託の場合が多い。クラウドでも状況の確認が必要なのは、クラウドベンダーが運用保守や一部機能を提供する過程で、個人データを含む企業データにアクセスする場合が考えられるからだ。
個人情報保護委員会(個情委)は越境移転に当たらない判断基準の例として「契約でベンダーが個人データにアクセスしないことを取り決める」「実際にアクセス制御によりベンダーがアクセスできないことを技術的に担保する」などを挙げている。
サーバーの所在地に関して個情委は「日本国内にあっても、実態としての契約相手が海外企業かどうかなども踏まえて判断すべきだ」としている。
標準サービス契約の記述に注意
企業にとって面倒なのは、顧客や消費者の情報だけでなく、取引先や従業員情報なども個人情報に該当することだ。また一部の処理に限ってクラウドを使っている場合もある。PwCあらた有限責任監査法人で企業の対策を指南する平岩久人パートナーは「本社部門が事業部門のクラウド利用をすべて把握していないケースは少なくない。今回の対策のために、全社でどのような個人情報をクラウドで扱っているか棚卸しした企業もある」と指摘する。
さらに注意すべきなのは、クラウドベンダーとの一般的な契約が、個人情報の処理を業務委託するような個別契約ではなく「ベンダーが用意する共通のサービス提供契約である」(平岩パートナー)ことだ。仮に標準のサービス契約に記述が不足していれば、個別契約で顧客情報にアクセスしないと明記できるか否かが対策の1つとなる。
データ処理の実態などを踏まえて、外資系クラウドの利用を越境移転に当たると線引きするケースもある。この場合は2020年法改正で定めた、越境移転の新たな義務を果たす必要がある。多くの日本企業が該当する対策は、クラウドベンダーにおける個人情報保護の体制が日本の制度水準に達しているという基準適合性を確認し、年1回以上の頻度で確認を取り続けることだ。つまりベンダーとの合意と体制づくりが必要になる。
日本の個人情報保護法では、個人データの越境移転を大きく3つのパターンに分けている。(1)日本と同等の制度を持つと十分性認定を与えた欧州連合(EU)・英国に移転する場合、(2)EU・英国以外の国で、日本の個人情報保護法が定める個人情報取扱事業者と同じ基準を満たしている(基準適合)現地企業に提供する場合、(3)EU・英国以外の国で、その他の企業に提供する場合だ。(1)と(2)は委託先企業の情報の取り扱いが日本法に準じていると判断できるので本人同意が不要だ。この枠組みは既存法から引き継ぐ。
2020年改正法の新規制は大きく2つある。1つは(2)の企業に個人情報を提供する場合に、基準への適合性を年1回以上の頻度で定期的に確認すること、もう1つは(3)の企業に提供するために本人同意を取る際には、データ移転先の国名や同国の個人情報保護制度などを本人に開示することである。
実態として多くの日本企業が取るべき2020年改正法対策の鍵は(2)のケースだ。(1)では新たな対策は不要であるし、日本企業が本人同意を取って(3)の基準に適合しない企業に業務を委託するケースはまれだからだ。つまり(2)の基準適合を確認できた現地の委託先企業やクラウドベンダーと交渉して、基準適合性を定期的に確認し続ける体制をつくることになる。なお、このケースでは個人情報を提供した人から求められれば、移転先の国名やその国での個人情報保護に関する制度の情報、委託先企業が取る体制整備の方法などの情報も開示する必要がある。
