GDPRと海外の個人情報保護法:日本企業が注目すべき域外適用や越境移転に関するポイント | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > コンサルティング > GDPRと海外の個人情報保護法:日本企業が注目すべき域外適用や越境移転に関するポイント

GDPRと海外の個人情報保護法:日本企業が注目すべき域外適用や越境移転に関するポイント

GDPRと海外の個人情報保護法

日本における改正個人情報保護法の全面施行(2022年4月1日)が、間近に迫ってきました。準備や対応に追われている企業も多くいると思います。これに関連して今回の記事では、海外の個人情報保護法について取り上げます。本記事では特に、世界一厳しいとされるEUのGDPRと、すぐお隣の中国、韓国、台湾の法律を比較しています。各法律の概要と、日本企業が把握しておくべき域外適用や越境移転に関する規定を紹介しますので、これらの国・地域への事業展開などをご検討されている企業のみなさまや、海外の個人情報保護法に関心がある方々の参考になれば幸いです。

 

関連記事:「改正個人情報保護法のポイントとやるべきこと(前半)」

 

目次

・各法における個人情報(個人データ)の定義

EUのGDPR

中国の個人情報保護法

韓国の個人情報保護法

台湾の個人情報保護法

・最後に

情報源

 

(表1)各法における個人情報(個人データ)の定義

GDPR直接的にであれ間接的にであれ、生存する個人を特定できるあらゆる情報を意味する。名前や電話番号、住所はもちろんのこと、趣味、過去の購買に関する情報、保健情報、ネット上での行動なども含まれる。EU域内に在住する個人のみならず、出張や旅行などで域内に短期滞在している個人のデータも、GDPRの保護対象となる「個人データ」に含まれる。
中国の個人情報保護法電子またはほかの方法をもって記録される、既に識別された、または識別可能な、自然人に関する各種の情報をいう。
韓国の個人情報保護法生存する個人に関する情報であって、以下のいずれかに該当する情報をいう。:(1)氏名、住民登録番号および映像等を通じて個人を識別することができる情報、(2)当該情報のみでは特定の個人を識別することができないとしても、他の情報と照合することにより容易に個人を認識できる情報、(3)上記(1)と(2)に該当する情報が仮名処理(※)された情報。

※仮名処理とは、情報を加工(情報の一部を削除するなど)し、本来の状態に復元するための追加情報を使用しなければ特定の個人を識別することができない状態にすること。

台湾の個人情報保護法自然人の氏名、生年月日、国民身分証統一番号、旅券番号、特徴、指紋、婚姻、家族、学歴、職業、病歴、医療、遺伝子、性生活、健康検査、犯罪歴、連絡先、財務状況、社会活動およびその他の直接的または間接的に当該個人を識別することができる情報をいう。

(複数資料を参考に作成、詳細はページ下部の「情報源」をご覧ください)

 

EU

GDPR(General Data Protection Regulation /一般データ保護規則、2016年5月24日に発効、2018年5月25日より施行)

概要

GDPRは、EU(※)域内にいる個人の個人データ保護を規定する法として、1995年から適用されていた「EUデータ保護指令(Data Protection Directive 95)」に代わって制定された法律です。個人データやプライバシーの保護に関して、厳格に法的要件を規定しています。

 

※ここでいう「EU」には、EU加盟国27か国のほか、アイスランド、リヒテンシュタイン、ノルウェーも含まれます。なお、英国はEUを離脱したため、現在は「域外国」となっています。

 

域外適用

EU域内で事業を行う域外国の企業や公的機関は、EU域内の個人の個人データを取得する場合、GDPRの適用対象となります。また、EU域内に拠点(子会社や支店など)を有していない企業や公的機関でも、以下のいずれかの条件に該当する場合は適用対象となります。

 

・EU域内にいる個人に対して商品やサービスを提供している場合

・EU域内の個人の行動を監視する場合(例:アプリやWebサイトにおける個人の行動履歴や購買履歴の追跡など)

 

越境移転

GDPRでは、EU域内で収集した個人データを域外に移転することを原則として禁止しています。ただし、移転先の国・地域に「十分性認定」(※)がなされている場合や、適切な保護措置が取られている場合などには、例外的に移転が可能です。

 

「十分性認定」とは、欧州委員会が、特定の国や地域に対し、「個人データについて十分な保護水準を確保している」との認定を与えることをいいます。「十分性認定」がない国・地域への個人データ移転を行うためには、SCC(標準契約条項)の締結(データ移転元とデータ移転先との間での、欧州委員会が認めたひな形条項による契約を締結)などの措置を講じる必要があります。

 

EUから日本へのデータ移転

日本は、2019年1月23日に「十分性認定」を受けています。そのため、EU域内から日本への個人データ移転は、SCC締結などの追加の措置を取らなくても、日本国内法と「補完的ルール」を遵守すれば適法に行うことができます。

 

💡「補完的ルール」とは

日本国内において、EU域内から十分性認定により移転を受けた個人データを取り扱う場合に適用されるルールで、法的拘束力を有しています。補完的ルールでは、主に以下のような事項が定められています。

 

十分性認定により移転を受けた個人データに、性生活、性的指向または労働組合に関する情報が含まれる場合には、日本国内の個人情報保護法における「要配慮個人情報」(人種、信条、社会的身分、病歴、犯罪歴など、その取扱いに特に配慮を要する記述などが含まれる個人情報)と同様にそのデータを取り扱わなければならない。

EU域内から十分性認定により個人データの移転を受ける場合、当該個人データの移転を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録し、その範囲内で当該データを利用しなければならない。

 

中国

個人情報保護法(2021年8月20日公布、2021年11月1日施行)

概要

中国の個人情報保護法は、個人情報の権益を保障するための基礎的な法律で、個人情報処理の一般規則、越境移転時の規則、個人の権利、情報処理者の義務などが定められています。中国では長らく個人情報保護法が制定されていませんでした。しかし近年、個人情報を保護しつつ、データを取得・利用するためのルールを明確化する必要性が高まったことを受けて、立法計画に個人情報保護法の制定が盛り込まれました。GDPRを研究した上で草案が作成され、審議の後、2021年11月1日に施行されました。

 

域外適用

中国国外において中国国内の自然人の個人情報を取り扱う際、その行為が以下のいずれかに該当する場合は域外適用の対象となります。(第3条)

 

1, 中国国内の自然人への商品・役務の提供を目的とする行為

2, 中国国内の自然人を分析または評価するための行為

3, 法律および行政法規の定めるその他の行為

 

越境移転

個人情報を中国国外の受領者に提供する場合、情報処理者は、中国国外の受領者の名称または氏名、連絡方法、取り扱いの目的・方法、個人情報の種類を、個人に通知しなければなりません。また、個人が、個人情報保護法に定められている権利を国外の受領者に対して行使する場合の方法や手続きなどの事項も、個人に告知する必要があります。その上で、個人の単独の同意(※)を取得しなければなりません。(第39条)

 

※単独の同意とは、「一括同意」の逆を意味します。これを踏まえると、情報処理者は、情報処理行為を数回行う場合、それらの行為すべてに関してまとめて同意を得ることは許されず、各行為について個別に同意を得なければならないということになります。

 

(表2)越境移転の条件
一般的な個人情報処理者重要情報インフラ(※)運営者と、一定規模以上の個人情報処理者
以下のいずれかの条件を満たす必要がある:
・国の関係部門による安全評価を通過している
・専門機構を経て個人情報保護認証を行っている
・国の関係部門が制定する標準的な契約書に従って中国国外の受領者と契約を締結し、双方の当事者の権利・義務を取り決めている
・法律、行政法規、または国の関係部門によって定められるその他の条件
・中国国内で収集・生成した個人情報を国内で保存する義務あり。
・越境移転の必要がある場合には、国の関係部門が組織するセキュリティ評価を通過しなければならない。※「重要情報インフラ」とは、機能が破壊されたりデータ漏洩などの問題が発生すると、国家の安全、経済、民生または公共の利益を著しく脅かす恐れのある重要なネットワーク施設や情報システム等を指す。

日本貿易振興機構の資料「中国におけるサイバーセキュリティー、データセキュリティーおよび個人情報保護の法規制にかかわる対策マニュアル」を参考に作成)

 

中国国外の個人情報処理者の主な義務

中国国外の個人情報取扱者の主な義務には、以下のようなものがあります。(第53条)

 

中国国内における専門機構または指定代表者を設置する義務

個人情報保護関連の事務処理は同機構または同代表者に担当させ、責任を負わせる義務

関連機構の名称、代表者の氏名、連絡方法などを政府の個人情報保護職責履行部門へ届け出る義務

 

韓国

個人情報保護法(2011年3月29日制定、2011年9月30日施行、その後十数回改正)

概要

個人情報の保護に関する一般法で、業務目的で個人情報を扱うすべての公共機関、法人、個人に適用されます。個人情報の収集・利用、第三者提供、目的外利用・提供の制限、個人情報の破棄など、個人情報の処理全般に関する事項について定めた法律です。

2021年1月に、個人情報保護の強化を図りつつデータ活用を活性化させることを目的として情報通信網法、信用情報法(※)と共に改正され、8月に改正法が施行されました。

 

※個人情報保護法、情報通信網法、信用情報法の3法は韓国におけるデータ保護対策の中核をなしており、合わせて「データ3法」と呼ばれています。

 

域外適用

個人情報保護法では、域外適用についての明示的な規定が設けられていません。ただし、韓国国内にいる利用者の個人情報を処理する国外事業者への域外適用は認められています。

 

越境移転

個人情報を国外の第三者に提供する場合、個人情報処理者は以下の項目についてデータ主体(処理される情報によって識別することができる個人であって、その情報の主体となる者)に知らせ、同意を得る必要があります。また、個人情報の越境移転に関する契約を、個人情報保護法に違反する内容で締結してはなりません。(第17条3項)

 

1, 個人情報の受領者

2, 受領者が個人情報を利用する目的

3, 提供する個人情報の項目

4, 受領者が個人情報を保有および利用する期間

5, データ主体には同意を拒否する権利があるという事実と、同意を拒否することで生じる不利益がある場合にはその不利益の内容

 

台湾

個人情報保護法(2010年5月26日公布、2012年10月1日施行、2016年3月15日に改正法が施行)

概要

台湾の個人情報保護法は、1995年8月11日から施行されていた「コンピューター処理個人情報保護法」をその法律名を含めて改正し、規定の内容を大幅に拡充したものです。高度情報化が進展し、個人情報の処理が特定業種に限らず広く行われるようになったことなどを背景に、対象範囲が特定業種のコンピューター処理に限られていた旧法に代わって制定されました。

 

域外適用

この法律には、域外適用に関する規定はありません。

 

越境移転

非公務機関(※)が個人情報を越境移転する場合、次のいずれかに該当するときは、中央政府の目的事業主管官庁が、これを制限することができるとされています。(第21条)

 

1, 台湾の重大な利益に関わるとき。

2, 国際条約又は協定に特別の規定があるとき。

3, 移転先の国に個人情報保護についての十分な法規がなく、当事者の権利利益が侵害されるおそれがあるとき。

4, 第三国(地域)を経由して個人情報を移転することにより、この法律の適用を回避しようとするとき。

 

※同法において、「公務機関」とは、法に基づいて公権力を行使する中央または地方の機関や行政法人をいい、「非公務機関」とは、公務機関以外の自然人、法人その他の団体をいいます。

 

最後に

ここまで見てきた通り、同じ個人情報保護に関する法律であっても、その内容には各国・地域の社会状況などが反映されており、相違点が存在します。また、テクノロジーは進化を続けており、それに伴って情報保護やセキュリティに関する新たな課題が日々発生しているため、今回紹介したような法律は今後も頻繁に改正される可能性があります。さらに、GDPRに関しては違反した場合の制裁金が巨額です。したがって、海外でのビジネスをお考えの企業や、外国人へのサービス提供を行う企業などにとっては、当該国・地域の関連法の内容を把握して遵守のための対応を講じるとともに、法改正の動向をこまめにチェックすることが重要となるでしょう。

 

情報源

GDPR

https://www.jetro.go.jp/world/europe/eu/gdpr/

https://www.meti.go.jp/policy/mono_info_service/connected_industries/pdf/gdpr01.pdf(掲載元:https://www.meti.go.jp/policy/mono_info_service/connected_industries/sharing_and_utilization.html)

https://www.jetro.go.jp/biznews/2021/07/09a1c5f9bdcdfbaf.html

https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/#:~:text=EU%EF%BC%88%E2%80%BB%EF%BC%89%E3%81%A7%E3%81%AF%E3%80%81EU,Regulation%EF%BC%9A%E4%B8%80%E8%88%AC%E3%83%87%E3%83%BC%E3%82%BF%E4%BF%9D%E8%AD%B7%E8%A6%8F%E5%89%87

https://www.jetro.go.jp/biznews/2021/06/5c95b529a69074b7.html

https://www.ppc.go.jp/files/pdf/gdpr-preface-ja.pdf

https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/

https://privacymark.jp/system/operation/suppl_rules/index.html

https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/

https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

 

中国

https://dl.ndl.go.jp/view/download/digidepo_11863393_po_02890203.pdf?contentNo=1&alternativeNo=(掲載元:https://dl.ndl.go.jp/)

https://www.jetro.go.jp/ext_images/_Reports/02/0c080037fe572f0d/202111.pdf(掲載元:https://www.jetro.go.jp/world/reports/2021/02/0c080037fe572f0d.html)

https://www.ppc.go.jp/files/pdf/offshore_DPA_report_R3_12.pdf(掲載元:https://www.ppc.go.jp/news/surveillance/)

https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1-2021/

 

韓国

https://www.soumu.go.jp/g-ict/country/korea/pdf_contents.html

https://www.ppc.go.jp/files/pdf/offshore_DPA_report_R3_12.pdf(掲載元:https://www.ppc.go.jp/news/surveillance/)

https://dl.ndl.go.jp/view/download/digidepo_11680350_po_02880002.pdf?contentNo=1(掲載元:https://dl.ndl.go.jp/)

https://www.jetro.go.jp/biznews/2020/01/004ffae691037174.html

https://www.privacy.go.kr/eng/laws_view.do?nttId=8186&imgNo=3#:~:text=Personal%20Information%20Protection%20Act(General%20Law)%20%3A%20the%20purpose%20of,and%20value%20of%20each%20individual

 

台湾

https://dl.ndl.go.jp/view/download/digidepo_8382753_po_02580008.pdf?contentNo=1(掲載元:https://dl.ndl.go.jp/)

https://law.moj.gov.tw/ENG/LawClass/LawAll.aspx?pcode=I0050021

https://www.roc-taiwan.org/jp_ja/post/28927.html