1.はじめに
第4回では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)の改正で、事業者の皆様にとって本丸となる「事業者の守るべき責務の在り方」のうち「不適正な方法による利用の禁止」と「データ利活用に関する施策の在り方」をご説明いたしました。
今回は、「法の域外適用・越境移転の在り方」のほか「ペナルティの在り方」をご説明いたします。
2.法の域外適用・越境移転
(1)外国事業者に対する罰則規定の域外適用
旧法は、一定の規定について、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報等を取り扱う場合についても、適用すると定めていましたが(旧法75条)、報告及び立入検査(旧法40条)、命令(旧法42条2項、同3項)や罰則(第82条ないし第88条)の規定については、その対象とされていませんでした。そのため、国内の個人情報取扱事業者と外国の個人情報取扱事業者との間で個人情報保護法の適用が不平等であると指摘されていました。
そこで、現行法は、個人情報保護法の全ての規定について、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において個人情報等を取り扱う場合について、適用することになりました(現行法171条)。
(2)個人データの越境移転規制の強化
旧法は、外国にある第三者に個人データを提供できる要件として、以下の3つの要件を定めていました(旧法24条)。
| 要件1 | 外国にある第三者への提供を認める旨の本人の同意 |
| 要件2 | 個人情報保護委員会規則で定める基準に適合する体制を整備している第三者 |
| 要件3 | 我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国にある第三者 |
しかし、情報通信技術の発展に伴い海外への業務委託の一般化やビジネスモデルの複雑化が進む一方で、個人情報の越境移転の機会が増えることで個人データの越境移転に伴うリスクも生じていることを踏まえ、個人データの越境移転に関する本人への情報提供の充実等が求められることになりました。そこで、現行法では、旧法に加えて以下の要件が追加されました。
| 旧法 | 現行法 | |
|---|---|---|
| 要件1 | 外国にある第三者への提供を認める旨の本人の同意を取得すること | 本人の同意を取得するにあたって、あらかじめ以下の情報を提供すること(現行法28条2項、施行規則17条2項各号) ① 外国の名称 ② 適切かつ合理的な方法により得られた外国における個人情報の保護に関する制度に関する情報 ③ 移転先が講ずる個人情報の保護のための措置 |
| 要件2 | 個人情報保護委員会規則で定める基準に適合する体制を整備している第三者であること | 旧法の設備体制に加えて、以下の措置を講じること(現行法28条3項、施行規則18条2項各号) ① 相当措置の継続的な実施を確保するために必要な措置 ⇒適切かつ合理的な方法による定期的な確認 ⇒相当措置の継続的な実施の確保が困難となったときの提供の停止 ② 本人の求めに応じた必要な措置等に関する情報の提供 |
| 要件3 | 我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国にある第三者であること |
3.ペナルティの厳格化
新法は、以下のとおり、個人情報保護委員会との関係における法律違反の法定刑を引き上げました。また、法人にも科す罰金刑の法定刑も、以下のとおり、大幅に引き上げました。これは、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも厳しく処するためとされています。
| 違反自由 | 旧法 | 新法 |
|---|---|---|
| 個人情報保護員会の命令に違反した場合 | 6月以下の懲役又は三十万円以下の罰金(旧法84条) | 1年以下の拘禁刑又は百万円以下の罰金(現行法178条) |
| 個人情報保護委員会に対する虚偽の報告や虚偽の資料の提出、質問に対する答弁の拒絶、虚偽の答弁、検査の拒絶、検査の忌避等を行った場合 | 三十万円以下の罰金(旧法85条) | 五十万円以下の罰金(現行法182条) |
| 個人情報データベース等の不正提供や盗用を行った場合 | 法人にも罰金刑を科す 法定刑は、行為者と同額(旧法87条) | 法人にも罰金刑を科すと法定刑は、1億円以下の罰金刑(現行法87条) |
4.最後に
今回は、「法の域外適用・越境移転の在り方」のほか「ペナルティの在り方」をご説明いたしました。これで、2022年に施行された改正個人情報保護法について、一通りご説明を申し上げたことになります。
ただし、現時点で既に、個人情報保護委員会において、いわゆる「3年ごと見直し」が始まっています。個人情報保護法の改正やその施行はしばらく先になると思いますが、着実に改正が進んでいます。
個人情報の保護は、法律や施行規則のほかにガイドラインも参照しなければなりませんし、机上の議論ではなく実際のビジネスモデルを踏まえて対応していかなければなりません。不明点や疑問点が生じた場合は、専門家に相談し、解決するように努めてください。
弁護士 田上 淳一