将来的に海外でも事業を展開したいと考えている場合、日本で取得したプライバシーマーク(以下、Pマーク)はどのような位置付けになるのか気になるという声をいただくことがあります。海外に支店やグループ会社がある場合や、海外を拠点とするクラウドサービスに個人情報を送信している場合など、日本で仕事をしていたとしても、保有している個人情報を海外に送信しているケースは思っている以上に多いものです。
そこで今回は、「個人情報の海外移転」について、その基準や抑えておくべきポイントをご紹介したいと思います。
目次
個人情報の海外移転は可能?
Pマークの審査基準となっている「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用方針」(以下、「構築・運用方針」)は、「個人情報保護法」の要素も含んでいます。そして、個人情報の海外移転については、ほぼ法律ベースの基準を採用しているのです。
個人情報保護法では、個人情報の海外移転(委託も含む)は以下の『外国にある第三者への提供が認められる場合』に限定されており、Pマークの審査基準でも同様となります。
『外国にある第三者への提供が認められる場合』とは…
日本と同等の個人情報保護制度が存在する国の場合
日本と同等の水準にあると認められる個人情報の保護に関する制度を有していると、個人情報保護委員会規則で定められた国に対し、日本国内と同条件での第三者提供が認められると、個人情報保護法第28条に記載されています。(委託の場合、本人同意は不要)
※具体的には、EU加盟国および英国が該当
個人情報保護委員会が定める基準に適合する事業者である場合
個人情報保護委員会が定める基準に適合する体制を整えている場合も、以下の3つの条件をすべて満たしていれば、提供(委託)が認められます。
(1)APEC CBPRシステムの認証取得の確認をはじめとした、国内の個人情報取扱事業者が講ずべき措置(以下、相当措置)に相当する措置の実施に関する契約を交わす
(2)提供先の相当措置の継続的な実施を確保する
(3)本人からの求めがあれば、提供先の所在する国名やその国における法制度などの情報を速やかに提供する
一定の事項を開示した上で、本人の同意を得た場合
事前に以下の3点について明示し、本人の同意が得られた場合も、個人情報の海外移転が可能です。
・提供(委託)先が所在する外国の名称
・提供(委託)先が所在する外国の個人情報保護制度に関する情報
・提供(委託)先が個人情報保護のために講じる措置に関する情報
クラウドサービスで個人データを取り扱わないこととなっている場合
クラウドサービスを利用する場合、そのサービスが海外を拠点とするクラウド事業者のものであるか、海外のデータセンターを利用していれば、通常は個人情報の海外移転にあたります。
そうなると、先述した条件を満たす必要が出てきますが、実際のところそれはかなり困難で、EU加盟国か英国の海外クラウドサービスしか利用できないという結論になってしまいます。
しかし、実はクラウドサービスに関する規定には、1つの抜け道があるのです。それは、「海外のクラウドサービスを利用していても、それが自社の個人データを取り扱わないことが契約で明確になっており、適切なアクセス制限が実施されていれば個人情報の海外移転に該当しない」というもの。これにより、EU加盟国や英国以外の海外クラウドサービスを利用した個人情報の海外移転も認められます。
海外移転では「外的環境の把握義務」もポイント!
Pマークでも、個人情報保護法とほぼ同基準で海外移転が認められるのは、先述のとおりです。しかし、ここで忘れてはいけないのが「外的環境の把握義務」です。
言葉だけ見ると、なんだかとても難しそうな印象を受ける方もいらっしゃるかもしれませんが、要するに「個人情報を取り扱う国を明確にする」こと、そして「その国の個人情報保護制度を理解し、個人情報保護に必要な安全管理措置を講じること」という意味です。
ちなみにこれは、クラウドサービスを利用する場合にも、対応が求められるため、少なくともどの国のサーバーを使用しているのか把握しておく必要があります。
とはいえ、海外の制度について理解を深めるのは、簡単なことではありません。制度の内容について調べる方法がわからない国もあるでしょう。そんなときは、日本の個人情報保護法を管轄している個人情報保護委員会が公表している調査結果を参考にしてみてください。
海外における個人情報保護法の動向は?
日本では、2003年個人情報保護法が成立し、改正を何度か繰り返して現行の個人情報保護法となっています。かなり新しい法律というイメージを持ちますが、世界と比べると意外にもそうではないことが分かります。
たとえば、世界で最も厳しいプライバシー法として知られるEUのGDPR(一般データ保護規則)は、2018年に施行されています。また、中国では近年まで個人情報保護法が存在していませんでしたが、2015年に国家安全法が制定されたことがきっかけとなり、安全保障のためのプライバシー保護を求める声が高まりました。そこで、2017年にサイバーセキュリティ法を制定し、2021年にはデータセキュリティ法とあわせて、個人情報保護法が施行されるようになりました。
アメリカ合衆国は、消費者プライバシー保護に関するFTC法第5条が1914年に施行され、かなり早い段階で動き出しているかのように見えるのですが、その内容はあくまでも自主規制によってプライバシーの取り扱いを決定するもので、他国に比べるとかなり緩いといえます。
しかし、アメリカ合衆国の場合は、連邦だけではなく各州がそれぞれで個人情報保護法が存在しており、もっとも注目されているのがCCPA(カリフォルニア州消費者プライバシー法)です。CCPAは、消費者自身に個人情報保護のための権利を与えているのが特徴で、企業に対して個人情報の削除や第三者提供の停止を要求できる内容となっています。
オプティマ・ソリューションズでは、Pマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。創業から20年、実績数も3500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
