個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません(個人情報保護法27条【32条】1項各号、個人情報保護法施行令8条【10条】各号)。
令和2年改正法により、保有個人データの開示項目として、以下の事項が追加されます。
個人情報取扱事業者は、個人情報保護法20条【23条】の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければなりません。
ただし、当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、その必要はありません。
当該安全管理のために講じた措置は、事業の規模および性質、保有個人データの取扱状況(取り扱う保有個人データの性質および量を含む)、保有個人データを記録した媒体などに起因するリスクに応じて、必要かつ適切な内容としなければなりません。このため、当該措置の内容は個人情報取扱事業者によって異なり、本人の知り得る状態に置く安全管理のために講じた措置の内容についても個人情報取扱事業者によって異なります。
従業者の監督(法21条【24条】)・委託先の監督(法22条【25条】)は、法20条【23条】の安全管理措置の一環として、従業者および委託先に対する監督義務を明記するものであり、従業者および委託先に対する監督は、法20条【23条】の安全管理措置の一部を成します。このため、従業者および委託先に対する監督についても、法20条【23条】の規定により保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要があります。
なお、本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をWebサイトに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能ですが、例えば、「個人情報の保護に関する法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではありません。
本人の知り得る状態に置く必要があるのは「保有個人データ」の安全管理のために講じた措置ですが、これに代えて、「個人データ」の安全管理のために講じた措置について本人の知り得る状態に置くことは妨げられません。
下記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られません。個人情報取扱事業者は、「保有個人データの安全管理のために講じた措置」について、「本人の知り得る状態」に置く必要がありますが、「本人の知り得る状態」は、「本人の求めに応じて遅滞なく回答する場合」を含みます。
例えば、Webサイトにおいて、安全管理措置の概要及び問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」に置いたこととなります(令和3年9月に追加されたQ&A 9-3)。
本人の適切な理解と関与を促す観点から、事業の規模および性質、保有個人データの取扱状況などに応じて、下記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応です。
【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例(通則編ガイドライン3-8-1)】
(基本方針の策定)
(個人データの取扱いにかかる規律の整備)
(組織的安全管理措置)
(人的安全管理措置)
(物理的安全管理措置)
(技術的安全管理措置)
(外的環境の把握)
(※4)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではありませんが、本人が合理的に認識できると考えられる形で情報提供を行う必要があります。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましいです。
(※4)「外的環境の把握」については令和3年9月に追加されたQ&A(令和4年4月1日施行)において、下記4-2の通り、いくつかの重要なQ&Aが示されています。
【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例(通則編ガイドライン3-8-1)】(※5)
(※5)例えば、上記の【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難または紛失などを防止するための措置を講じる」「外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえませんが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられます。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様などによってさまざまであり、事業の規模及び性質、保有個人データの取扱状況などに応じて判断されます。
【中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例(通則編ガイドライン3-8-1)】
(基本方針の策定)
(個人データの取扱いにかかる規律の整備)
(組織的安全管理措置)
(人的安全管理措置)
(物理的安全管理措置)
(技術的安全管理措置)
(外的環境の把握)
^外的環境の把握
上記4-1の通り、「安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」(通則編ガイドライン3-8-1)の1つとして「外的環境の把握」が掲げられています。
また、安全管理措置の1つとして、「外的環境の把握」について、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度などを把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない」(通則編ガイドライン7-7)とされています。
「外的環境の把握」が安全管理措置の1つとして求められるのは、個人情報取扱事業者が「外国において個人データを取り扱う場合」です(通則編ガイドライン10-7)。
例えば、以下に掲げるような場合は、「外国において個人データを取り扱う場合」に該当するため、個人情報取扱事業者は、当該外国の個人情報の保護に関する制度などを把握した上で、安全管理措置を講じる必要があります。
個人情報取扱事業者は、外国にある支店や営業所に個人データを取り扱わせる場合、外国において個人データを取り扱うこととなるため、支店などが所在する外国の個人情報の保護に関する制度などを把握した上で、安全管理措置を講じる必要があります。
また、外国に支店などを設置していない場合であっても、外国にある従業者に個人データを取り扱わせる場合、本人が被る権利利益の侵害の大きさを考慮し、その個人データの取扱状況(個人データを取り扱う期間、取り扱う個人データの性質及び量を含む)などに起因するリスクに応じて、従業者が所在する外国の制度などを把握すべき場合もあると考えられます。例えば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度なども把握して安全管理措置を講じる必要があると考えられます。他方、外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも、安全管理措置を講じるにあたって、外国の制度などを把握する必要まではないと考えられます。
以上は、外国にある支店などや従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様とされています(これはLINE問題で海外の現地法人の従業員が国内サーバにアクセスできたことを意識したものと考えられます)。
そして、外国の制度などを把握して安全管理措置を講じる場合には、「保有個人データの安全管理のために講じた措置」として、支店などや従業者が所在する外国の名称を明らかにし、当該外国の制度などを把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
外国にある第三者に個人データの取扱いを委託する場合、委託元は、委託先を通じて外国において個人データを取り扱うこととなるため、委託先が所在する外国の個人情報の保護に関する制度などを把握した上で、委託先の監督その他の安全管理措置を講じる必要があります。また、委託先が外国にある第三者に個人データの取扱いを再委託する場合、委託元は、委託先及び再委託先を通じて外国において個人データを取り扱うこととなるため、再委託先が所在する外国の制度なども把握した上で、安全管理措置を講じる必要があります。以上は、委託先や再委託先が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です(これはLINE問題で海外の現地法人の従業員が国内サーバにアクセスできたことを意識したものと考えられます)。
そして、かかる場合には、「保有個人データの安全管理のために講じた措置」として、委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度などを把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
なお、委託元は、個人データの取扱いの委託に伴って委託先に個人データを提供する場合において、委託先が「外国にある第三者」(法24条【28条】第1項)に該当するときは、原則として委託先が所在する外国の名称などを本人に情報提供した上で、本人の同意を取得する必要があります(法24条【28条】第1項・第2項)。かかる場合においても、委託元は、上記の通り、安全管理措置を講じる必要があり、また、保有個人データの安全管理のために講じた措置を本人の知り得る状態に置く必要があります。
我が国の個人情報保護法では、(クラウド)サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととされている場合には、外国にある第三者への提供(法24条【28条】)に該当しないこととされています(Q&A 12−4)。
「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合などが考えられます(Q12−3)。
この点、EUのGDPRでは、クラウドサーバの運営事業者も処理者(Processor)に該当し、EU域外の海外のクラウドサーバ運営事業者への提供も越境データ移転として扱われるのに対し、日本の個人情報保護法では、越境データ移転に関する規制は適用がなく、ほぼまったく無規制であり、国際的な個人情報保護規制においても「ループホール」(抜け穴)に該当しかねません。
また、LINE問題のように、海外の個人情報保護規制において、越境データ移転の際に問題となるデータローカライゼーション(個人データの国内保存義務)、ガバメントアクセス(外国政府による無制限の情報へのアクセス)がある場合には、クラウドサーバであったとしても個人への情報提供が必要となり得ます。
そこで、通則編ガイドラインやQ&Aからは明確ではありませんが、海外サーバ事業者を利用する場合には、「外的環境の把握」として安全管理措置を講じて置くのが妥当であると考えられます。
令和2年改正法とは直接関係ありませんが、通則編ガイドラインの改正により、本人が予測できる程度の利用目的の具体例が示されました(通則編ガイドライン3-1-1(※6)、Q&A 2-1)。
利用目的を「できる限り」特定する(法15条【17条】1項)とは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。
このため、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましく、例えば、単に「お客さまのサービスの向上」などのような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。
また、一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があります。例えば、いわゆる「プロファイリング」といった、本人に関する行動・関心などの情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要があります。
【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例(通則編ガイドライン3-1-1)】
なお、個人情報の取扱内容などに変更がない中で、本人が一般的かつ合理的に予測・想定できる程度に利用目的を特定し直した場合、利用目的の変更には該当しません。この場合、特定し直した利用目的については、個人情報保護法27条【32条】1項 の規定に基づいて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(ガイドラインパブコメ回答(概要)32番)。
東京大学法学部卒、日特建設株式会社、株式会社広済堂ホールディングス、株式会社代々木アニメーション学院の社外取締役就任。
BUSINESS LAWYERSは、“企業法務の実務に役立つ情報を提供する”オンラインメディアです。特にIT分野では、個人情報などのデータの取り扱いに関する情報や、開発・DXプロジェクトにおける留意点をはじめ、主に法的観点による解説コンテンツを発信。独自のネットワークを駆使したインタビュー記事や、企業法務の第一線で活躍する弁護士による実務解説記事などを掲載しています。その他の記事はこちら。
© BUSINESS LAWYERS
Special
PR注目記事ランキング