個(gè)人情報(bào)の越境に標(biāo)準(zhǔn)契約が必要なくなるのか 答えは複雑
作者:呉鵬飛 呉金冬 2023-10-11國(guó)慶節(jié)休暇の前日、國(guó)家インターネット情報(bào)弁公室から「データ越境流動(dòng)の規(guī)範(fàn)化及び促進(jìn)に関する規(guī)定(意見(jiàn)募集稿)」(以下、「意見(jiàn)募集稿」とします。)が発表され、大きな関心を集めました。意見(jiàn)募集稿では、「?jìng)€(gè)人情報(bào)越境標(biāo)準(zhǔn)契約弁法」及び「データ越境安全評(píng)価弁法」という現(xiàn)行の2つの法規(guī)に対し重大な変更を行っています。しかし、上位法である「?jìng)€(gè)人情報(bào)越境標(biāo)準(zhǔn)契約弁法」と「データ越境安全評(píng)価弁法」を超越することは出來(lái)ないので、意見(jiàn)募集稿と監(jiān)督管理機(jī)関の態(tài)度を完全に理解することが重要になります。そして、意見(jiàn)募集稿には未整理の問(wèn)題がまだ若干あります。
一連の問(wèn)題を整理し、評(píng)価及び屆出の要求を緩和
意見(jiàn)募集稿において最も重要なキーワードは、「整理」と「緩和」です。これは、弊所も認(rèn)めるところであり、議論が最も多く交わされているトピックです。
1. 整理:意見(jiàn)募集稿では、冒頭の3條で、実務(wù)上多くの企業(yè)が困惑していた規(guī)定、特に重要データの認(rèn)定について整理しています。
2. 緩和:実務(wù)において大部分の外資企業(yè)で最も多い個(gè)人情報(bào)の越境は、社員の個(gè)人情報(bào)の越境とサプライヤー又は顧客の連絡(luò)擔(dān)當(dāng)者の個(gè)人情報(bào)の越境になります。越境する情報(bào)の人數(shù)が意見(jiàn)募集稿第5條の規(guī)定に合致していれば、以降は標(biāo)準(zhǔn)契約を締結(jié)して屆け出を行う必要がないと考えられます。「?jìng)€(gè)人情報(bào)越境標(biāo)準(zhǔn)契約弁法」に定める11月末までの是正期限を前にした企業(yè)にとって、これは非常にメリットが大きいものとなります。
意見(jiàn)募集稿は計(jì)11條から成り、その他の條文も全て重要なものばかりですが、紹介している記事も數(shù)多くありますので、ここでは割愛(ài)させて頂きます。意見(jiàn)募集稿の構(gòu)造と內(nèi)容を皆様により鮮明にご理解いただけるよう、弊所にてマインドマップを作成しました。ご參考になれば幸いです。
法律規(guī)定におけるコンプライアンス義務(wù)には変化なし
意見(jiàn)募集稿では、現(xiàn)行の2つの法規(guī)に対し重大な変更を行っています。しかし、上位法である「?jìng)€(gè)人情報(bào)越境標(biāo)準(zhǔn)契約弁法」と「データ越境安全評(píng)価弁法」を超越することは出來(lái)ないので、意見(jiàn)募集稿と監(jiān)督管理機(jī)関の態(tài)度を完全に理解することが重要になります。例えば、意見(jiàn)募集稿では、評(píng)価と屆出の要求を緩和していますが、「?jìng)€(gè)人情報(bào)保護(hù)法」第38條に定める、個(gè)人情報(bào)の域外提供において適用される3つのコンプライアンスルート、つまりデータ越境安全評(píng)価の申告、個(gè)人情報(bào)越境標(biāo)準(zhǔn)契約の締結(jié)、個(gè)人情報(bào)保護(hù)認(rèn)証の合格が完全に適用されなくなるわけではありません。
「?jìng)€(gè)人情報(bào)保護(hù)法」に定める次に掲げる義務(wù)に変化はありません。これらの義務(wù)は、企業(yè)が遂行すべきコンプライアンス業(yè)務(wù)です。
1. 「?jìng)€(gè)人情報(bào)保護(hù)法」第39條により、個(gè)人情報(bào)取扱者は、告知義務(wù)を履行し、個(gè)人の同意を個(gè)別に取得しなければなりません。これについては意見(jiàn)募集稿でも、「?jìng)€(gè)人情報(bào)の域外提供が個(gè)人の同意に基づく場(chǎng)合は、個(gè)人情報(bào)の主體の同意を得なければならない。」と改めて強(qiáng)調(diào)しています。
2. 「?jìng)€(gè)人情報(bào)保護(hù)法」第55條により、個(gè)人情報(bào)保護(hù)影響評(píng)価を事前に行わなければなりません。個(gè)人情報(bào)を域外提供する際に個(gè)人情報(bào)保護(hù)影響評(píng)価をどのように行うについては、現(xiàn)在のところ、「?jìng)€(gè)人情報(bào)越境標(biāo)準(zhǔn)契約の屆出に関するガイドライン(第1版)」の中の「?jìng)€(gè)人情報(bào)保護(hù)影響評(píng)価申告書雛形(越境版)」が引き続き最も參考になります。なお、弊所にて以前提供させて頂いた「越境業(yè)務(wù)における企業(yè)の個(gè)人情報(bào)保護(hù)影響評(píng)価の実施方法」をご參考にして頂いても結(jié)構(gòu)です。
3. 意見(jiàn)募集稿の中で標(biāo)準(zhǔn)契約を締結(jié)する必要がない特別な事由を定めていますが、「?jìng)€(gè)人情報(bào)保護(hù)法」の関連規(guī)定及び個(gè)人情報(bào)保護(hù)影響評(píng)価の要求に基づき、個(gè)人情報(bào)取扱者と域外受信者との間である程度の約定がやはり必要になります。この約定は、契約書でも、お互いのグループで規(guī)則を適用する形でも構(gòu)いません。個(gè)人情報(bào)越境標(biāo)準(zhǔn)契約書を參考に、さらに変更を加える形でも構(gòu)いません。
4. 「?jìng)€(gè)人情報(bào)保護(hù)法」第5章及び「サイバーセキュリティ法」第4章等の関連規(guī)定を含む、「?jìng)€(gè)人情報(bào)保護(hù)法」及び「サイバーセキュリティ法」に定める個(gè)人情報(bào)又はデータの保護(hù)義務(wù)
実際のところ、意見(jiàn)募集稿でも、データ保護(hù)の義務(wù)や常態(tài)的監(jiān)督管理の強(qiáng)化が強(qiáng)調(diào)されており、監(jiān)督管理部門が今後どのように常態(tài)的監(jiān)督管理を?qū)g現(xiàn)していくかについて、意見(jiàn)募集稿が正式に公布されてから実務(wù)経験が積まれるのをある程度の時(shí)間待つ必要があるかもしれません。
未整理の問(wèn)題
真っ先に気になる問(wèn)題は、やはり意見(jiàn)募集稿はいつ正式に公布されるのか、ということです。弊所の予想では、意見(jiàn)募集稿は、「?jìng)€(gè)人情報(bào)越境標(biāo)準(zhǔn)契約弁法」に定める是正期限より前に法律の內(nèi)容を変更した成果を生かすため、11月末より前に正式に公布されるはずです。當(dāng)然ながら、これは弊所の推測(cè)に過(guò)ぎません。具體的な內(nèi)容については、次に述べる問(wèn)題が未整理なものとなっています。
1. 上位法の規(guī)定に対する違反ではないのか? 意見(jiàn)募集稿に定める適用除外(3つのコンプライアンスルートが免除される特別な事由の規(guī)定)は、「?jìng)€(gè)人情報(bào)保護(hù)法」第38條の規(guī)定に違反していないか、それとも第38條第4項(xiàng)に定める「インターネット情報(bào)部門の定めるその他の條件」とみなすのか、議論するに値する事柄です。
2. 個(gè)人情報(bào)の越境時(shí)、全ての場(chǎng)合において個(gè)人の同意を得る必要があるのか? 意見(jiàn)募集稿第4條に定める事由に該當(dāng)する場(chǎng)合でも、個(gè)人の同意を得る必要があるのか? この點(diǎn)については、「?jìng)€(gè)人情報(bào)保護(hù)法」第13條と理解が異なります。意見(jiàn)募集稿では、個(gè)人の同意を得る必要があることを単獨(dú)で強(qiáng)調(diào)しておらず、弊所も同意を得なくて良いと考えています。しかし、今までの安全評(píng)価審査の実務(wù)上では、個(gè)人の同意を得ることをインターネット情報(bào)弁公室に求められます。
3. 第4條に定める事由について、越境する情報(bào)に関する人數(shù)を考慮する必要があるか? 弊所では不必要と考えます。それでは、「?jìng)€(gè)人情報(bào)の域外提供を必要とする」範(fàn)囲をどのように理解すべきかについてですが、これも今までの安全評(píng)価審査において、インターネット情報(bào)弁公室が非常に注目していた問(wèn)題です。意見(jiàn)募集稿では、企業(yè)の自主判斷に全て委ねたと考えて良いのでしょうか。やはり、「?jìng)€(gè)人情報(bào)保護(hù)法」の必要最小限の原則を考慮すると、第4條に定める事由に該當(dāng)する場(chǎng)合でも、域外提供する個(gè)人情報(bào)の範(fàn)囲は、企業(yè)が慎重且つ合理的に判斷する必要があると考えられます。
4. 第5條、第6條に定める人數(shù)について、企業(yè)の個(gè)人情報(bào)の越境に関する各業(yè)務(wù)における人數(shù)を合算した數(shù)なのか、それとも業(yè)務(wù)別にそれぞれ計(jì)算するのか? 例えば、同一の企業(yè)で社員の個(gè)人情報(bào)の越境とサプライヤーの個(gè)人情報(bào)の越境の2つを行った場(chǎng)合において、この2つの合計(jì)の人數(shù)は1萬(wàn)人を超えるが、サプライヤーの個(gè)人情報(bào)の越境は1萬(wàn)人未満のときについて、第4條により社員の個(gè)人情報(bào)の越境には申告不要なので、サプライヤーの個(gè)人情報(bào)の越境のみ考慮すればよい、と考えれば申告は不要となりますが、この2つを合計(jì)して個(gè)人情報(bào)の越境人數(shù)を考えた場(chǎng)合は、第6條を適用し、標(biāo)準(zhǔn)契約の屆出が必要となります。
5. 安全評(píng)価の申告や標(biāo)準(zhǔn)契約の屆出を既に行った企業(yè)はどうすればよいのか? 以前発表された評(píng)価や屆出のガイドラインは引き続き適用されるのか? 安全評(píng)価の申告を既に行っており、意見(jiàn)募集稿によると標(biāo)準(zhǔn)契約の屆出を行うだけでよくなった場(chǎng)合は、インターネット情報(bào)弁公室と連絡(luò)を取り、申告取り下げの申請(qǐng)を行い、標(biāo)準(zhǔn)契約の屆出を改めて行えばよいものと考えられます。変化はあまりないでしょう。標(biāo)準(zhǔn)契約の屆出を既に行っており、意見(jiàn)募集稿により標(biāo)準(zhǔn)契約の屆出も行う必要がない場(chǎng)合は、屆出の取り下げを行う必要があるものと考えられます。しかし、これまでに申し上げた通り、準(zhǔn)備段階でのコンプライアンス活動(dòng)(個(gè)人情報(bào)影響評(píng)価及び標(biāo)準(zhǔn)契約の締結(jié)を含みます。)は、決して無(wú)駄ではありません。當(dāng)然ながら、企業(yè)自らがそれぞれの立場(chǎng)に従い変更することを検討してもよいでしょう。
これらの他にも、解釈や整理が必要な細(xì)かい問(wèn)題がまだいくつかありますが、これ以上は割愛(ài)させて頂きます。本文で述べた問(wèn)題について、正規(guī)版が公布されて解決されることを祈念しますが、今後の実務(wù)において徐々に答えが明確になってゆくのかも知れません。個(gè)人情報(bào)の越境が必要な企業(yè)におかれましては、この分野のコンプライアンス活動(dòng)を長(zhǎng)期的な作業(yè)ととらえ、立法及び取り締まりの動(dòng)向を引き続き注目していくことをお?jiǎng)幛嶂陇筏蓼埂?/span>
