個人情報の出国は、法に基づいて個人情報保護の影響評価を行うべきである
問題提起
2023年9月末、インターネット通信弁公室は「データの国境を越えた流動規定の規範化と促進(意見聴取稿)」(以下「意見聴取稿」という)を公布し、この意見聴取稿では、データの出国安全評価の申告が不要であり、個人情報の出国基準契約を締結し、個人情報保護認証を通過する場合を列挙し、(1)個人が当事者である契約を締結し、履行するために必要であり、国境を越えた買い物、国境を越えた送金、航空券ホテルの予約、ビザの取り扱いなど、海外に個人情報を提供しなければならない場合、(2)法に基づいて制定された労働規則制度と法に基づいて締結された集団契約に基づいて人的資源管理を実施し、海外に内部従業員の個人情報を提供しなければならない場合、(3)緊急時に自然人の生命健康と財産安全などを保護するために、国外に個人情報を提供しなければならない場合、(4)1年以内に1万人未満の個人情報を海外に提供する予定の場合。
では、意見聴取稿の前記内容が正式に実施された後、個人情報が出国する上記のシーンでは、個人情報処理者は個人情報保護影響評価を行う必要はないのではないでしょうか。
弁護士の解読
一、個人情報の出国シーンにおいて、個人情報処理者は事前に個人情報保護影響評価を行わなければならず、『個人情報保護法』に規定された法定コンプライアンス義務である。
「個人情報保護法」第55条の規定に基づき、次のいずれかの場合、個人情報処理者は事前に個人情報保護影響評価を行い、処理状況を記録しなければならない:(1)敏感な個人情報を処理する、(2)個人情報を利用した自動意思決定、(3)個人情報の処理を委託し、他の個人情報処理者に個人情報を提供し、個人情報を公開する。(4)海外に個人情報を提供する、(5)その他の個人の権益に重大な影響を与える個人情報処理活動。このように、前述の5つの法定状況(個人情報の出国を含む場合)の下で、事前に個人情報保護に対する影響評価は、個人情報保護法に規定された個人情報処理者の法定コンプライアンス義務である。意見聴取稿が免除を規定している場合は、データ出国安全評価を申告する必要はなく、「個人情報保護法」が規定する個人情報処理者の個人情報出国に対する安全評価義務を免除しているわけではない。
二、個人情報保護影響評価は個人情報処理者にとって積極的な意義がある。
個人情報保護影響評価は、個人情報処理者の法定義務だけでなく、個人情報保護影響評価にも積極的な意義がある。個人情報処理者は個人情報保護影響評価を行うことにより、自身の個人情報処理活動が規則に合致しているかどうか、リスクが存在しているかどうかを識別、分析することができる、規則に違反したり、リスクがあることがわかった場合は、事前に改善を通じて適切な救済措置をとることができ、それによって個人情報処理活動の安全性とコンプライアンスを高め、関連リスクを低減または解消することができます。
三、個人情報保護の影響評価の主な内容及び保存期間。
「個人情報保護法」第56条の規定に基づき、個人情報保護影響評価は以下の内容を含むべきである:(1)個人情報の処理目的、処理方式などが合法、正当、必要であるか、(2)個人権益への影響及び安全リスク(3)取った保護措置は合法的で、有効で、リスクの程度に応じているか。個人情報保護影響評価の内容は、「個人情報出国基準契約届出ガイドライン」に添付されている「個人情報保護影響評価報告書(出国版)」の内容を参照することができる。同時に、「個人情報保護法」に基づき、個人情報保護影響評価報告書と処理状況記録は少なくとも3年間保存しなければならない。つまり、企業は個人情報保護影響評価を持続的に推進しなければならないことを意味する。
