『個人情報保護法ガイドライン(EU十分性認定移転編)に関する論点整理』(仮)です。長文注意
【十分性認定の決定】
欧州委員会と個人情報保護委員会は、個人情報保護法に加え、ガイドラインを成立させることにより、GDPR第 45 条に基づき、日本が個人データについて十分な保護水準を確保しているとする枠組みを進めることを決定。
(要確認)個人情報保護法ガイドライン(EU十分性認定移転編)の効力発生が十分性の認定の条件となっているという理解でよいか。
【個人情報保護法ガイドライン(EU十分性認定移転編)の位置づけ】
個人情報保護法第6条(法制上の措置等)は、個人情報に関する一層の保護を図り国際的に整合のとれた個人情報に係る制度を構築する観点から、法令で定める内容を補完し上回る、より厳格な規律を設けられるよう必要な法制上の措置その他の措置を講ずる権限を規定している。この点、個人情報保護法6条が、政府に法を上回る上乗せ規制を設定する権限が与えた規定であるか明らかではないが、個人情報保護法ガイドライン(EU十分性認定移転編)は、その旨、整理している。
《参考》個人情報保護法第6条
政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする。
すなわち、個人情報保護委員会の整理は、EU域内から十分性認定により移転を受けた個人データの取扱いについて、より厳しい規律であるガイドラインを策定する権限を有し、それを行使した。
法的拘束力:ガイドライン(EU十分性認定移転編)には、法的拘束力、執行力有り。個人情報取扱事業者が本ガイドラインに定める義務を遵守しない場合、個人情報保護委員会は法第 42 条(勧告及び命令)に基づく措置を講ずる権限を有する。
裁判規範性:有り(民事訴訟の訴えの基礎とすることができる。)
【ガイドライン(EU十分性認定移転編)の適用対象は?】
EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者
(要確認)個人情報取扱事業者にGDPRの適用がないが、EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束するという理解でよいか。
(要確認)個人情報取扱事業者にGDPRの適用がないが、EU域内から十分性認定により移転されない、SCCにより移転される個人データを受領する個人情報取扱事業者を拘束しないという理解でよいか。
【ガイドライン対応として、個人情報取扱事業者の採りうるオプションは何か?】
理論的には、以下の選択肢①又は②が選択できる。
選択肢① GDPRの個人データの域外移転規制のクリアランス手法として、日本が十分性の認定を受けていることを利用する。そのために、個人情報保護法ガイドライン(EU十分性認定移転編)を遵守する。また、その担保のために、個人情報管理規程を改訂する。
選択肢② GDPRの個人データの域外移転規制のクリアランス手法として、SCCを利用する。そのため、個人情報保護法ガイドライン(EU十分性認定移転編)を遵守する必要はない。
これらに加えて、実務的には、選択肢③も選択しうると考える。
選択肢③ GDPRの個人データの域外移転規制のクリアランス手法として、日本が十分性の認定を受けていることと、SCCを重畳的に利用する。そのために、個人情報保護法ガイドライン(EU十分性認定移転編)を遵守する。また、その担保のために、個人情報管理規程を改訂する。
【個人情報管理規程を改訂する場合、どのような改訂が必要か?】
改訂① EU域内から十分性認定に基づき提供を受けた個人データに限って(※日本の個人データなど一般的・包括的に拡大する必要は無い。以下、同じ。)、性生活、性的指向又は労働組合に関する情報は、要配慮個人情報と同様に取扱う。
趣旨:GDPR§9に定める特別個人データに平仄を合わせるものである。
《参考》
Article 9 Processing of special categories of personal data
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
(要確認)要配慮個人情報の限定列挙事由を拡大する趣旨でないか。以下、同趣旨。
改訂② EU域内から十分性認定に基づき提供を受けた個人データに限って、消去することとしている期間にかかわらず、法第 2 条第 7 項における保有個人データとして取り扱う。
趣旨:GDPRには、そのような限定規定はないことから、平仄を合わせるものである。
改訂③ -1EU域内から十分性認定に基づき個人データの提供を受ける場合、法第 26 条第 1 項及び第 3 項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
改訂④ -2EU域内から十分性認定に基づき個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、法第 26 条第 1 項及び第 3 項の規定に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
趣旨:GDPR§30(Records of processing activities)に平仄を合わせるものである。
改訂⑤ EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、法第 24 条に従い、次の①から③までのいずれかに該当する場合を除き、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得ることとする。
① 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合
② 個人情報取扱事業者と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、本ガイドラインを含め法と同等水準の個人情報の保護に関する措置を連携して実施している場合
③ 法第 23 条第 1 項各号に該当する場合
改訂⑥ EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報[匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第 36 条第 1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。]を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第 2 条第 9 項に定める匿名加工情報とみなすこととする。
趣旨:ARTICLE 29 DATA PROTECTION WORKING PARTYのOpinion 05/2014 on Anonymisation Techniques Adopted on 10 April 2014の意見に平仄を合わせるものである。例えば、この下りである。
Secondly, “the means likely reasonably to be used to determine whether a person is identifiable” are those to be used “by the controller or by any other person”. Thus, it is critical to understand that when a data controller does not delete the original (identifiable) data at event-level, and the data controller hands over part of this dataset (for example after removal or masking of identifiable data), the resulting dataset is still personal data. Only if the data controller would aggregate the data to a level where the individual events are no longer identifiable, the resulting dataset can be qualified as anonymous. For example: if an organisation collects data on individual travel movements, the individual travel patterns at event level would still qualify as personal data for any party, as long as the data controller (or any other party) still has access to the original raw data, even if direct identifiers have been removed from the set provided to third parties. But if the data controller would delete the raw data, and only provide aggregate statistics to third parties on a high level, such as ‘on Mondays on trajectory X there are 160% more passengers than on Tuesdays’, that would qualify as anonymous data.
An effective anonymisation solution prevents all parties from singling out an individual in a dataset, from linking two records within a dataset (or between two separate datasets) and from inferring any information in such dataset. Generally speaking, therefore, removing directly identifying elements in itself is not enough to ensure that identification of the data subject is no longer possible. It will often be necessary to take additional measures to prevent identification, once again depending on the context and purposes of the processing for which the anonymised data are intended.
【雑感】
上記のような個人情報管理規程の改訂及び運用の修正の負荷を考慮すれば、域外移転のクリアランスとして、SCCを利用する方が、統一的なGDPR(含むSCC)対応で完結し、(思考経済上も)シンプルですね。
引き続き検討します。(つづく)
