はじめに

2022年4月1日に施行された改正個人情報保護法では、外国にある第三者への個人データの提供、いわゆる越境データ移転について新たに規定されました。これにより、特にクラウドサービスを利用するときに注意が必要になりましたので、その内容についてご紹介します。

改正個人情報保護法について

 個人情報保護法では、あらかじめ本人の同意を得ないで個人データを第三者に提供することを禁止しています。

しかし、例外規定がありまして、

個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合は第三者提供にあたらないと規定されています。

つまり、業務委託契約などに基づいて、委託業者が個人データを取り扱ったとしても、第三者提供にあたらないのです。

しかし、しかし、

委託業者が外国にある第三者である場合は、先ほどの例外規定が適用されません。

つまり、第三者提供に該当するため、あらかじめ本人の同意を得ておく必要があるのです。

「うちの会社は国内企業としか取引しないから大丈夫だね」と思いがちですが、そう簡単な話ではないので、注意が必要です。特にクラウドサービスを利用している場合です。

なぜかというと、クラウドサービス事業者が国内企業であったとしても、サーバが外国に設置している場合も、例外規定が適用できないからです。

海外のサーバの方が安価だという理由で、国内のクラウドサービス事業者も海外サーバを利用しているケースはけっこうあるようです。

どうにかならないの？という声が聞こえてきそうです。

少しだけ安心材料があります。

個人情報保護法では、以下のいずれかの場合は、外国にある第三者への提供にあたらないと規定しています。

1.個⼈データを「提供」していない場合

契約条項などで、①個人データを取扱わないこと、②適切なアクセス制御がされていること、が明示されている。

2.個⼈情報保護委員会が認定した国（EU（EEA）+英国）

クラウドサービス事業者、サーバ設置先がEU（EEA）+英国の場合

3.個⼈情報保護委員会が定める体制を整備している企業

①「DTA︓Data Transfer Agreement」（データ移転契約）などで⽇本の個⼈情報保護法を遵守することになっている企業、②APECのCBPR認証を受けている企業

※別途、継続的な体制整備の実施を確保するために「必要な措置」が規定されています。

まとめ

これからクラウドサービスを選定する場合は、サービス提供事業者が国内企業だからと安心することはできず、サーバが設置されている国を事前に調査するなどの対応が必要になります。第三者提供にあたってしまうと様々な対応が必要になってきますので、第三者提供にあたらないサービスを選ぶのが賢明です。