1.GDPR以降の世界各国の個人情報保護法の対応
日本企業の世界進出に伴いグローバルレベルでのクラウドサービスの導入、インターネット・コンテンツやSNSサービスの世界各国への提供が近年、急速に拡大しています。そのため、グローバルでビジネス展開する日本企業も2018年5月25日に施行されたGDPRの対応を行ってきました。GDPRの施行後には、GDPRをならったインド、タイ個人情報保護法などの法制度が続々と法制化されつつあり、また既存の個人情報保護法のデータ主体の保護強化の方向での改正も活発に行われています。
2.データ・ローカライゼーション規制
他方で、個人のプライバシー保護を直接の目的としない「データの囲い込み政策」、すなわちデータベースの国内保存義務を課している「データ・ローカライズ規制」も、ロシア、中国、ベトナム、インドネシアなど社会主義的な施策を色濃く実施している国を中心に施行されています。このようなデータ・ローカライゼーション規制を実施している国では、データ主体の個人情報保護、プライバシー保護が第一義的な目的ではないため、本人同意にかかるクリアランス手法だけでは足りず、一定の政府の関与(政府承認、政府への報告など)を義務付ける規制を課している点が特徴です。個人情報保護は、個人の権利の公法上の発現ですが、データローカライズ規制の根本思想には、「個人情報は国家のもの」、「国家の情報資産である」、という発想が垣間見えます。中国サイバーセキュリティ法の保護対象が「個人情報」のみならず、「(国家にとっての)重要情報」であることも、その現れでしょう。そのため、個人のプライバシー保護を徹底し、企業に厳しい個人情報の管理義務や個人に対する丁寧なインフォームド・コンセントを取得する義務課すGDPRのクリアランスよりも、企業にとっては、より重い負荷となるリスクをはらんでいます。私の講義では、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきか法務部門のための具体的な手順を示すようにしています。
3.海外個人情報保護法の動向キャッチアップ
令和2年の改正個人情報保護法においては、「外国にある第三者への提供」に係る本人からの同意取得の際に、外国の個人情報保護制度に関する情報提供義務を提供元事業者に課されることとなります。この点、提供元の事業者の海外法令の調査能力や調査コスト・調査負荷に対する懸念がパブリックコメントおいても示されています。
これに対して、パブリックコメント回答では、「今般の改正法における個人データの越境移転に係る同意取得時の情報提供義務の趣旨には、個人データの越境移転を行う事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点がありますので、当該外国における個人情報の保護に関する制度についての確認は、提供元の事業者の責任において行っていただくべきものであると考えております。もっとも、当委員会においても、外国の個人情報の保護に関する制度について、事業者の参考となる一定の情報を取りまとめて公表する予定です。」としており、個人情報保護委員会での一定の情報開示がなされることが期待されます。もっとも、外国にある第三者への提供の際に本人に提供する情報の限度では、当該国の個人情報保護法の遵守対応をするには足りず、依然として事業者における海外個人情報保護法の調査の負荷は残ると言ってよいでしょう。
4.日本企業が各国個人情報保護法対応において解決すべき課題
以下では、日本企業が各国個人情報保護法対応において直面する課題について纏めます。
(1)顧客・ユーザ情報
Q.当社は日本でインターネットサービス提供していますが、海外でもサービス展開する計画があります。その際にユーザ情報を日本(サーバは日本国内)で管理できますか?その際にケアすべき法令は何ですか? |
Q.日本の親会社が、海外子会社と共同して、海外の法人顧客と取引をする際に法人の担当者名刺情報を共有することができますか?当社は法人顧客しかいないのであまり個人情報保護規制をケアしていません。 |
(2)人事情報
Q.当社は世界 60カ国の海外拠点を持つ商社です。この度、グローバルで人事管理クラウドを導入し、世界各国の社員の情報管理を一括管理したいと思っています。その際には、どのような規制をクリアする必要がありますか? |
(3)海外弁護士の起用
Q.世界各国の個人情報保護法には、個人データの国外移転規制があると聞いています。しかし、当社法務部では、海外法令を対応する機能がありません。どのように海外の弁護士を起用し、海外法令の対応を実施していけばよいですか? |
(4)個人情報保護法の域外適用・域外移転規制
Q.当社はEU地域に拠点があり、日本本社にて、EUの個人データを取扱っているためGDPR対応を日本法人で実施しました。もっとも、中国、インド、シンガポール、タイ、ベトナムなどのアジア圏、US、ブラジルなどの北米・南米地域にも拠点があり、個人データを取扱っていますが、何も対応していません。これらの国の個人情報保護法は、日本本社には域外適用されないのでしょうか? |
Q.また、これらの海外拠点から個人データを共有していますが各国の個人情報保護法(国外移転規制)の対応は不要でしょうか?特に海外拠点からは何も言われていませんが心配です。 |
(5)グローバル内部通報制度・グローバル稟議・レポーティングライン
Q.当社は、海外拠点での内部不正行為を日本本社にて設置した内部通報窓口で受け付けています。日本では公益通報者保護法があり、同法に従った内部通報規程を策定しています。EUでも同様の内部通報規制があると聞いていますが、EUの内部通報規制に対応した規程はなく、日本の内部通報規程を英訳したものを流用しています。EUの内部通報規制に対応しなくてよいでしょうか? |
Q.内部通報に限らず、海外拠点からの報告や稟議・決裁事項が日本本社に上がってきます。これらには、社員や取引先の個人データが含まれていますが、各国の個人情報保護法(国外移転規制)の対応は不要でしょうか? |
(6)海外法令のクリアランス手法と海外法令リサーチ
Q.当社は、EU地域の拠点のほか、アジア、北米・南米、アフリカに合計で60か国に現地法人・支店と店舗を有しています。GDPR以外でも海外の個人情報保護規制に対応する必要があることは分かっていますが、具体的にどのようなアクションが必要なのか、どこまでの対応をすべきかの勘所がありません。また、そもそも、各国の個人情報保護法をリサーチする機能もなく、海外法令対応が止まっています。 |
Q.令和2年の改正個人情報保護法では、「外国にある第三者への提供規制」が強化され、移転先の国の個人情報保護法の制度を説明する必要があります。60か国の法制度をどのようにリサーチすればよいですか? |