特集:グローバルデータコンプライアンス
~世界各国のデータ保護法の最新動向~

近年、技術の革新によるデータ利活用の多様化やグローバルな越境データ移転の増加に伴い、個人情報の保護に対する意識が高まり、世界各国のデータ保護法は目まぐるしく加速度的に変化しており、日本企業の個人情報の取扱い実務への影響も少なくありません。
このような状況を踏まえて、弊所のデータ・セキュリティプラクティスグループでは、世界各国のデータ保護法の最新動向をテーマとして、定期的なウェブセミナーを開催しており、第6回である今回は、各国のデータ保護法に精通した弁護士たちが、直近の約半年(2022年5月~2022年10月)のグローバルの動向として、米国、中国、タイ、ベトナム、欧州及びインドネシアの動向をご紹介いたします。
また、各国のデータ保護法は、必ずしも同一内容ではないため、横断的な理解が難しいところです。そこで、第6回のウェブセミナーを担当した弁護士たちが、データ保護法上の論点に関して、各国毎に比較しながら、実務上の対応も含め、より踏み込んだ議論を行った対談の模様を記事として掲載しております。
過去の関連セミナー
- 『グローバルデータコンプライアンス~世界各国のデータ保護法の最新動向~(2020年10月・11月)』
- 『グローバルデータコンプライアンス~世界各国のデータ保護法の最新動向~(2021年1月)』
- 『グローバルデータコンプライアンス~世界各国のデータ保護法の最新動向~(2021年5月)』
- 『グローバルデータコンプライアンス~世界各国のデータ保護法の最新動向~(2021年9月)』
- 『グローバルデータコンプライアンス~世界各国のデータ保護法の最新動向~(2022年5月)』
- 『グローバルデータコンプライアンス~世界各国のデータ保護法の最新動向~(2022年11月・12月)』
対談者一覧







▼2 処理根拠の異同
▼4 越境移転規制の異同
1. 総論(GDPRと米国、アジア諸国のデータ保護法の比較)

今回、先生方に、2022年5月~10月にかけて、欧州、米国、中国、タイ、ベトナム、インドネシアの個人情報の保護に関する法律の動向について、解説していただきました。最近は、世界中で個人情報の保護に関する法律の制定や改正が相次いでおり、どれも全く同じ内容というわけではないので、全てを理解することは簡単ではないところです。この座談会では、データ保護法の観点で、特に問題となり得る、処理根拠、域外適用、越境移転規制といった論点を中心に、GDPRと米国、アジア諸国との差異や実務上の対応について議論していきたいと思います。
まず、比較の前提として、2018年5月25日から適用が開始されているGDPRの義務の概要を簡単におさらいしておりきますが、概要は、次のとおりです。
1 |
個人データの処理に関する原則 (5条) |
2 | 処理の適法性 (6条・7条) |
3 | 特別カテゴリーの個人データの処理の適法性 (9条) |
4 | 透明性及び提供すべき情報 (12条~14条) |
5 |
データ主体の権利の尊重 (13条~22条) |
6 | 管理者の責任/共同管理者の義務 (24条・26条) |
7 |
データプロテクションバイデザイン、データプロテクションバイデフォルト(25条) |
8 |
処理者の義務 (28条・82条) |
9 | 記録保持義務 (30条) |
10 | データセキュリティに関する義務 (32条) |
11 |
個人データ侵害時の通知義務 (33条・34条) |
12 | データ保護影響評価(DPIA)実施義務 (35条~36条) |
13 |
EU代理人(27条)/データ保護責任者(DPO / 37条~39条)選任義務 |
14 | 海外データ移転規制 (44条~49条) |
GDPRには、域外適用もあり、違反した場合には高額の制裁金が課され得ることから、各事業者は対応に追われましたが、各国でもGDPRを参考とした立法例もみられるところです。今回、取り上げた、各国のデータ保護法の制定の動きについて、簡単に説明していただけますでしょうか。

まず、中国では、①ネットワーク安全法(サイバーセキュリティ法とも呼ばれます。またその下位規範としての個人情報安全規範も実務的に重要です)、②データ安全法(データセキュリティ法とも呼ばれます)、③個人情報保護法、の3つが、データやプライバシーの保護に関する基本法に位置付けられていますので、この3つは正確に理解しておく必要があります。
①ネットワーク安全法は、2017年6月1日に施行されており、ネットワーク空間の主権ならびに国の安全及び社会の公共の利益を保つこと等を目的としています。ネットワーク上にある情報を規制対象とし、重要情報インフラの運営者に対して、中国国内での事業活動によって収集し、または発生した個人情報及び重要データの国内保存義務を導入しています。
②データ安全法は、2021年9月1日に施行されており、データ処理活動を規範化し、データセキュリティを保障し、データの開発利用の促進、個人組織の権利利益の保護、そして、国家主権、国家安全及び国家発展の利益を維持することを目的としています。対象は、個人データを含むデータとなっています。
③個人情報保護法は、2021年8月20日に成立し、同年11月1日に施行されました。この個人情報保護法は、中国における初めての個人情報保護に関する包括的な法律です。GDPRに類似する点はありますが、GDPRよりも厳しい点もあります。
今回のウェビナーでは、これらの最新動向について、実務上特に相談を受けることが多い域外移転規制を中心に解説させていただきました。

GDPRでは、違反に対する制裁金は、最大で2000万ユーロ又は前会計年度の全世界の売上高の4%のいずれか高い方の金額となりますが、中国の個人情報保護法において、違反行為に対する制裁はどう定められていますでしょうか。

個人情報保護法に違反した場合、違反の程度が重大である場合には5,000万元以下または前年度の売上高の100分の5以下の過料を科せられる可能性があります。また、当該違反のあったサービスの一時停止や終了を命じられる可能性もあり、さらに、違反した企業の責任者に対する最高100万元以下の過料や一定期間における関連企業の役員等への就任禁止という制裁もあります。また、民事責任について、個人情報の取扱いに関する権利侵害訴訟では立証責任が転換され、事業者が故意・過失の不存在について立証責任を負うという点も特徴として挙げられます。

ありがとうございます。タイはどうでしょうか。

タイでは、包括的な個人情報保護法であるThe Thailand’s Personal Data Protection Act(PDPA)が、2022年6月1日に全面施行されました。PDPAの内容は、GDPRを基に、または、参照したと思われる規定が多くあり、その内容はGDPRと多くの部分で重なるものになっているといえます。
PDPAの違反行為については、民事責任、行政責任に加えて、GDPRと異なり、刑事責任が含まれています。その刑事責任は、法人だけでなく、取締役等の指示や義務を怠った場合は、当該取締役等の責任者についても同様の罰則が適用されます。
今回のウェビナーでは、全面施行後の最新動向として、下位規則の制定状況を中心に解説させていただきました。

ありがとうございます。ベトナムはどうでしょうか。

ベトナムでは、2021年に包括的な個人情報に関する政令案が公表され、2021年12月1日施行予定とされていましたが、現時点でも未施行です。そのため、GDPRや日本の個人情報保護法のように、個人情報について規律する包括的な法律や政令はありません。しかし、全く規制がないというわけではなく、サイバーセキュリティ法など複数の法令や規則において、個人情報についての規定が存在します。
今回のウェビナーでは、ベトナムのデータローカライゼーション規制の最新動向として、サイバーセキュリティ法に関する政令の概要を中心に解説しています。

包括的な個人情報に関する政令案については今後の動向を注視しておく必要がありますね。インドネシアはどうでしょうか。

これまでインドネシアには個人情報保護に関する包括的な法律はなく、電子情報・取引法や銀行法等の個別法において、個人情報保護に関する規定が存在している状況でした。しかし、2022年9月20日に、個人情報保護に関する初めての包括的な規制枠組みとして、個人情報保護に関する法律2022年27号が成立し、同年10月17日付で施行されています。今回のウェビナーでは、この個人情報保護法について解説しています。この個人情報保護法の中心的な規制の多くは、GDPRと重なる部分がありますが、インドネシアの個人情報保護法特有の注目すべき点もあります。

なるほど、内容の詳細は竹内先生のウェビナーをご欄いただくとして、違反行為に対する制裁はどのような定めになっておりますでしょうか。

個人情報保護法に違反した場合の行政罰として、書面警告、個人情報の処理の一時停止、個人情報の削除又は破棄、過料が予定されています。また、刑事罰も定められています。たとえば、法律の犯罪規定に該当する個人情報を違法に収集または使用した者は、最高5年の懲役および/または最高50億ルピアの罰金を科される可能性があると定められています。同様に違法に情報を開示した者は、4年以下の懲役および/または40億ルピアの最高罰金に処される可能性があります。

ありがとうございます。米国はどうでしょう。連邦法成立の見込みが気になるところです。

連邦法としては、American Data Privacy and Protection Act (ADPPA)法案が、連邦議会下院の委員会において、連邦議会下院での審議に付されることとなってますが、下院の審議は実際は進んでおらず、2023年1月3日で終了する今国会での成立可能性は最早、ほぼなくなったと言えます。ただし、2023年以降再びこの法案をベースとした新たな法案が審議されて成立する可能性がありますので、引き続き動向の注視は必要です。また、州法では、2カリフォルニア州消費者プライバシー法(CCPA)を基本的には規制強化する方向で改正したカリフォルニアプライバシー権法(CPRA)が、2023年1月1日に施行されます。CCPAでは大部分の条文が適用除外となっていた、B to B関係や役職員関係についても、全面適用となるため注意が必要です。それ以外の各州でも包括的な州法が既に制定されており、バージニア州、コロラド州、ユタ州及びコネチカット州では、2023年に各州法の施行を控えていますので、こちらも適用がある企業については、要注意です。

ありがとうございます。特に米国の連邦法が成立した場合の影響は大きいと思われますが、引き続き、注視しておく必要がありますね。他に補足はございますでしょうか。

インドも動きがあります。インドの個人情報保護法案は2022年8月に取り下げられましたが、それに代わるものとして、2022年11月18日に、2022年デジタル個人データ保護法案(「The Digital Personal Data Protection Bill, 2022」)が公表されました。2022年12月17日まで、パブリックコメントを受け付けており、報道によると、2023年3月までに国会に提出される見込みのようです。これまでのインドでの立法プロセスにおける一連の紆余曲折をみていると、今後順調に可決されるかどうかは分かりませんが、引き続き注目が必要です。

ありがとうございます。法案の内容は別途ウェビナー等でご案内しましょう。
2.処理根拠の異同

続いて、個別の論点として、個人情報の処理根拠について議論して参りたいと思います。日本の個人情報保護法では、個人情報を利用する際に、その利用目的が個人情報を取得した際に、本人に通知・公表等した利用目的の範囲内に含まれているかを検討し、その目的外の利用や第三者提供をする場合などは、原則として本人の同意を得ることが必要となります。GDPRでも、個人情報を取得したときに本人(data subject)に利用目的等を通知する必要がある点は同様です。しかし、日本の個人情報保護法と異なり、個人情報を処理(process)するためには、処理を適法化するためには、以下の根拠のいずれかが必要とされております。
・データ主体の同意があること |
そのため、GDPRでは各事業者は個人データを処理する場合には、どの法的根拠に依拠することができるかを検討が必要となります。日本の個人情報保護法では、個人情報を取得するときには原則同意は不要ですが、要配慮個人情報の場合は本人の同意が必要であり、また、先ほど申し上げたとおり、第三者提供の場合には、原則同意を必要とします。また、実務上も法律上の要請にかかわらず、個人情報を取得する際に本人の同意を得るという運用を採用していることが多くあります。こうした規制や運用から日本は同意を得る場面が多いという印象ですが、それとの対比では、GDPRはどう考えられますでしょうか。

GDPRでも、データ主体の同意は、処理行為のための1つの根拠として挙げられておりますが、あくまで例外的な適法化根拠と考えておく必要があります。というのも、同意が有効であるための要件は厳格であり、かつ、明文上撤回が可能であるとされていて、同意が撤回されてしまうと利用が継続できなくなりますので、処理根拠として安定的なものとはいえません。また、必ずしも同意の議論に限られませんが、最近は欧米を中心として、特定の選択肢をより強調する、特定のアクションを採り難くするといった、消費者の意思決定を無意識のうちに歪める方向に誘導する「ダークパターン」への問題意識が高まっているので、同意取得インターフェースの設計に際しては注意が必要です。欧州ではGDPRに基づくガイドラインやデジタルサービス法で、米国ではCPRAなどでダークパターンに関する明示的な言及があります。

データ主体から同意をとれば良いだろうと安易に考えることはできないということは注意が必要ですね。同意至上主義ではないという点は、従来、米国も同様と考えておりましたが、最近のCPRA関係の動向で注意すべき点はありますでしょうか。

CCPAでは、日本のように一般的には、オプトイン同意を要求しているわけではなく、個人データを販売をする場合にはオプトアウトを認めればよいという規制になっていました。ただし、16歳未満の未成年者の場合にはオプトイン同意が必要です。CPRAでも個人データの販売と共有については原則オプトアウトで良いという点はCCPAと同じです。もっとも、CPRAの規則案をみると、平均的消費者の期待に沿わない利用目的で個人データを取得又は処理する場合には事前に同意を得ることが義務付けられていることが注目されます。また、岡田弁護士が指摘したとおり、CPRAの規則案ではダークパターンを利用して得られた同意は同意にあたらないとされており、何がダークパターンにあたるか具体例も用いて説明されていますので注意が必要です。最新の規則案では、ダークパターンの認定にあたり、事業者の意図は考慮すべき要素ではあるが、決定的な考慮要素ではないとされています。そして、事業者が、ユーザインターフェイスについて認識しつつ是正しなかった場合には、ダークパターンとなる可能性があることが明記されています。

なるほど、CPRA本体ではなく、その規則案で同意主義的な要素が示された点は驚きですが、留意が必要ですね。また、同意が必要な場合、ダークパターンを利用して得られた同意であると言われないために注意が必要ですね。そうすると、各国のデータ保護法を検討する上では、個人情報を処理する上で、同意が必要とされているのか、そうでないのか、という視点が有用そうです。この点、中国の個人情報保護法はどうでしょうか。

処理の根拠は、以下のとおりです。
・本人の同意を得ること |
GDPRの適法化根拠と相当程度類似しているとはいえるのですが、正当な利益という適法化根拠はありません。そのため、中国においては、本人の同意が根拠となる場面が多いと考えられ、原則同意主義と評価できるかと思います。日本と同様、個人情報の第三者提供の場面でも原則同意主義が採用されていますので、この点もGDPRと異なるところです。

なるほど。そうなると、本人の同意に依拠せざるを得ない場合が多くなると思われますが、同意の有効性の要件が気になるところです。この点はどのように規定されてますでしょうか。

個人情報保護法上、同意は、本人が十分な知識を持って自発的かつ明示的に行うものとされており、撤回も可能であることが明文化されています。また、14歳未満の場合、親権者から同意を得る必要があります。個人がその個人情報の取扱いに同意しないこと又は、その個人情報の取扱いに対する同意を撤回したことを理由に、商品又は役務の提供を拒絶してはならないことも明文で定められています。機微情報の取扱いや第三者提供、越境移転には「個別の同意」が必要であり、事前に通知すべき事項等にも指定があり、要件が厳しくなってます。

ありがとうございます。「個別の同意」をどう取得するか等、実務上対応が悩ましいかと思いますが、その点は越境移転規制の点で議論しましょう。続いて、タイはどうでしょうか。

タイの個人情報保護法では、まず、個人からの情報の収集・使用・開示に当たっては、原則として、事前又は収集時に、本人に対し、法律で定められた事項を書面又は電磁的方法により通知した上で、同意を取得する必要があるとされています。その例外として、本人の同意なく情報を収集できる場合として、以下の場合が定められています。
・ 歴史文書の準備、公共の利益の探求、又は研究・分析・統計に関する目的のためであって、個人情報に関する適切な保護基準が施されている場合 |

同意の原則と、その例外として定められている事項をみると、GDPRの処理根拠と同じようにみえますが、GDPRと同様だという説明は可能でしょうか。

たしかに、処理根拠となり得る事項は、GDPRと同様であるという評価は可能のようにも見えますが、条文の定め方からすると、処理根拠としては同意が原則であり、その例外として、他の根拠が認められていると読むのが自然かと思います。その意味では、GDPRの処理根拠としての同意の位置づけとは異なるといえるかと思います。また、実際に、どの処理根拠に依拠するかという当てはめの段階では、特に同意ではなく正当な利益を根拠にしたいという要請が強い場面も散見されますが、まだ現地当局の解釈や運用も見えていないため、GDPRの処理根拠のあてはめや解釈を参考にしつつ、やや慎重・保守的な対応をとっているというのが現状であるといえます。

なるほど、そうだとすると、運用としては、GDPRの取り扱いを参考にしたり、場合によってはGDPRの取り扱いと一元化しつつ、少し現地の動向の様子を見ながら必要に応じ調整をしていくということになりそうですね。続いて、インドネシアの個人情報保護法の処理根拠を教えていただけますでしょうか。

インドネシアの個人情報保護法の処理根拠とは、以下のとおりで、GDPRと同等と評価できるかと思います。
・個人情報の処理目的及び個人情報主体の権利等を明示の上で、個人情報主体の同意を得た場合 |

まだ施行されて間もないですが、個々の個人データの処理についての処理根拠のあてはめは、GDPRのそれと大差ないと考えられそうでしょうか。

現時点ではそのような対応になるのではないかと想定しております。

こうしてみると、処理根拠も各国で一律とは言えないことが明らかですが、グローバルなデータ保護対応という観点では、どういう思考が重要でしょうか。

データ保護法を対応をグローバルに考えた場合には、やはり一元的な対応というのは原則難しいところがあるかと思います。本日取り上げている国でもGDPRとの違いがあることは、一元化が難しい点の一例を示すものです。無理に一元化を目指す対応をするのではなく、違いを適切に認識したうえで、共通項を見つけ出し、共通化できるものは共通化しつつ、差分については別途対応するという形でどう効率的にグローバル対応の準備をしていくかを検討することが重要です。
3.適用範囲・域外適用規定の異同

続いて、日本の事業者にとっては、日本で個人情報を処理する場合であっても、各国のデータ保護法の適用を受ける可能性があるのか、という域外適用を含む法律の適用範囲が関心毎の1つであります。この点、GDPRだと以下のとおり整理されます。
・EEA域内の管理者又は処理者の拠点の活動の「局面における」(in the context of)個人データの処理に適用される(処理が域内で行われるか域外で行われるかを問わない) |
この点、米国のCPRAではどうでしょうか。

まず、CPRAの保護の対象はカリフォルニア州の居住者に限られている点は、GDPRと違いがあります。また、GDPRと異なり域外適用が明文化されているわけではないですが、カリフォルニア州に拠点がなくても、以下の要件を満たす事業者は、適用を受けることになります。
①消費者(=カリフォルニア州の居住者)の個人情報を取得し(第三者を通じて取得する場合や第三者と共同して取得する場合を含む)、その処理の目的と手段を決定する営利目的の事業者であり、カリフォルニア州で「事業」を行っている |
また、こうしたCPRAの適用を受ける事業者には、「事業者を支配し、又はこれに支配される事業者であり、かつ、共通のブランドを有し、当該事業者が消費者の個人情報を共有する事業者」や「複数の事業者により構成されるジョイントベンチャー又はパートナーシップであって、各事業者が40%以上の持分を有するもの」も含まれます。たとえば、米国子会社がCPRAの適用を受ける場合に、共通のブランドを有しており、米国子会社からカリフォルニア州居住者の個人情報の共有を受ける日本の親会社にはCPRAが適用されます。

ありがとうございます。この点、中国の個人情報保護法は、いかがでしょうか。

まず、中国の個人情報保護法は「国内において自然人の個人情報を取り扱う活動」(3条1項)に適用されるとあります。適用対象となる個人情報の自然人は中国にいる人に限定されていない点は、GDPRと同様かと思います。他方で、GDPRでは、「管理者または処理者の拠点の活動」の過程における個人情報の取扱いが対象とされますが、中国の個人情報保護法では、「拠点の活動」という文言はありません。そうすると、GDPRでいう「拠点」が中国国内になくても、たとえば、サーバーを置いているだけでも、中国の個人情報保護法の「国内において自然人の個人情報を取り扱う活動」に該当すると評価される可能性はあるかと思います。

中国国内に拠点がない事業者にも適用される可能性はありますか。

はい、中国国内に拠点をもたない外国企業でも、以下の場合に適用されるという規定があります。
・中国国内への自然人への製品またはサービスの提供を目的とする場合 |
1点目はGDPRと同じです。一方、2点目は、GDPRでは、行為の監視を対象としてますが、中国では、「分析・評価する行為」が対象となる点で違いがあります。また、これに限らず、「法律・行政法規により規程するその他の場合」にも域外適用される可能性がある点は留意が必要です。

3点目の法令で更に適用範囲が広がる余地がある点には留意が必要ですね。タイはいかがでしょうか。

PDPAでは、タイ国内にある管理者又は処理者による個人情報の収集、利用、又は開示については、その収集、利用、又は開示がタイ国内で行われているかどうかにかかわらず適用されると定められています。また、タイ国外にある場合でも、タイ国内にいるデータ主体に商品やサービスを提供する場合、及び、タイ国内でのデータ主体の行動を監視する場合にも適用されるとされています。この点で、GDPRと同様といえます。

ありがとうございます。インドネシアはどうでしょうか。

今回のウェビナーでも解説した点ですが、インドネシア国内において法的行為を行う個人又は法人、公的機関及び国際機関に適用され、国外の者の行為についても、それにより①インドネシア国内において法的効果が生じるもの、②国外のインドネシア国籍の個人情報主体に法的効果が生じるものについては適用があります。この域外適用の内容をみる限りは、GDPRや他国の法律よりも、国外における多くの処理活動が適用対象となり得るように思われます。

たしかに文言は他国の例よりも広く定められているようですし、ご指摘の点は重要な点ですね。
4.越境移転規制の異同

最後に越境移転規制について、データローカライゼーションの規定も含めて、比較をしていきたいと思います。まず、GDPRの越境移転規制との関連で、シュレムスII判決後の動向は気になるところです。同判決で、EU・米国間のデータの越境移転枠組みであったプライバシーシールドが無効とされましたが、その後、新たなデータの越境移転枠組みの議論は進んでいるのでしょうか。

2022年3月25日には、シュレムスII判決で無効とされたプライバシーシールドに代わる、越境移転枠組としてのTrans-Atlantic Data Privacy Framework(DPF)が、米国・欧州間で大筋合意と発表され、同年10月7日には、米国大統領が大統領令に署名したことは記憶に新しいかと思います。これをふまえ、12月13日には欧州委員会が十分性認定の決定ドラフトを公表しました。今後、EDPBでの検討、加盟国からの意見聴取、欧州議会でのレビュー等の審議手続が本格化することになりますが、もしこの枠組みが発効すれば、再び、EUから米国へのデータ移転が容易になることが期待されます。ただ、またその枠組みの有効性が争われるリスクはあることは否定できません。

国際的には注目度の高い議論かと思います。日本での対応という観点ですが、GDPRでは、EEA域内から日本に対して個人データを移転するような越境移転の場面では、主に(1)十分性認定、(2)拘束的企業準則(BCR)又は十分性認定(SCC)、(3)本人の同意が根拠として挙げられ、実務上は、(1)十分性認定か、(2)SCCによることが多いかと思います。シュレムスII判決の影響で、欧州委員会によって、SCCは改訂され、2022年12月27日までに、今までのSCCを改訂後の新しいSCCに切り替える必要があります。また、新しいSCCではデータ移転影響評価(TIA)も必要とされており、最近は、この点に関する相談が多いところです。ところで、米国のCPRAでは越境移転規制はあるのでしょうか。

CPRAでは、個人データの販売・共有についての規制はありますが、GDPRのように越境移転規制であることを理由とした規制はありません。

中国の個人情報保護法では、越境移転規制はどう定められておりますでしょうか。

中国個人情報保護法の越境移転規制は、GDPRよりも厳格と言えます。まず、①ネットワーク情報部門が行う安全評価に合格すること、②専門機構が行う個人情報保護に係る認証を受けていること、③国のネットワーク情報部門が制定する標準契約に従い国外の受領者と契約を締結し、双方の権利及び義務を約定すること、のいずれかの条件を充足する必要があるのですが、これに加えて、原則として本人の個別の同意が必要とされています。 上記の標準契約は、GDPRのSCCと同様の位置づけと考えられ、草案が公表されています。その草案によれば、標準契約の効力発生日から10営業日以内に、影響評価報告とともに締結した標準契約を所在地の省級ネットワーク情報部門に対して届け出る義務が規定されており、このままの内容で正式に制定されることになった場合には手続的にかなり負担があるといえるため、今後の立法動向が注目されます。
また、重要データや個人情報の越境移転については、安全評価が必要となる場面があり、これについては、安全評価の流れ等も含めて、ウェビナーで詳しく解説しておりますので、参考にしていただければと思います。

標準契約の正式版はまだないという理解ですが、かといって、他の根拠も同様に正式な下位規則が制定されていないと認識しております。そうだとすると、これらに依拠することも難しいように思います。現時点の対応として、標準契約の案やGDPRのSCCを参考にするということは考えられるのでしょうか。

そのような対応も現時点ではあり得るかと思います。

個別の同意をどのように取得するかという問題があるかと思います。どのような対応が考えられるでしょうか。

個人情報を域外移転するため取得する必要がある個別の同意ですが、中国の個人情報保護法上、どのように同意を取得すれば「個別の同意」に該当するかは必ずしも明らかでありません。ただ「個別の同意」の文意からは、個人情報の域外移転について盛り込まれた従業員向けの同意書やユーザー向けのプライバシーポリシーについて、全体的に(包括的に)同意してもらうだけでは足りないように考えられます。実務上は、このような個人情報の域外移転に関する告知事項を盛り込んだ同意書やプライバシーポリシーの同意を取得する際に、「本書に記載された個人情報の第三者提供及び域外移転についても同意します。」といったチェックボックスを別個に設けて、そこにチェックを入れてもらったうえで同意書に署名させるというという方法がとられる例もあります。これまではこの「個別の同意」に関して厳格に取り締まりが行われていない状況であり、これまでと同様に包括的な同意によって対応している例も多いですが、今後は当局による取締りや実務動向の変化を受けて、厳密な対応が必要になる可能性があります。

ありがとうございます。続いてタイの域外移転規制はいかがでしょうか。

個人データの移転先の国が「個人情報保護のための十分な基準を満たしている」と認定されている場合は、それを根拠に越境移転をすることが可能ですが、現状、その対象国は示されていないため、これに依拠することはできません。提供先となる第三国が上記基準を満たしていない場合は、本人に対し、移転先の国が当該基準を満たしていないことを通知し、本人の同意を得る必要があるとされています。ただ、これには例外があります。まず、同一のグループ会社の中での越境移転であれば、タイの個人情報保護委員会により認証を受けた内部規則がある場合、データ主体の同意を得ずに越境移転が可能です。これは、GDPR上のBCR(拘束的企業準則)に近い枠組みと思われますが、その詳細はまだ明らかではありません。次に、グループ会社ではない場合でも、タイの個人情報保護委員会が定めるルールに沿った内容で、データ主体の権利行使が確保され効果的な救済対策が含まれた適切な個人データ保護措置が事業者間で設けられている場合に、同意取得の例外として越境移転が可能とされています。GDPRでいうSCCの締結と同じと思われますが、現時点でも具体的に標準契約条項に規定が必要な事項・詳細は示されていません。

そうすると、現時点では、タイの当局が作成した契約が使えない以上、実務上、本人の同意を得て越境移転しているのでしょうか。

ここは非常に悩ましいところであるのですが、少なくともタイにおけるBCRの枠組みには当局の承認が必要とされ、その承認手続には一般的に時間を要することが想定されることから、現状は、グループ内・外を問わず、一旦はGDPRのSCCと同程度の内容の契約を締結することで、越境移転の手当てをしておく場合が多いように思います。この点も、今後タイ当局から出される下位規則や動向を見ながら必要に応じた軌道修正をする、ということになりそうですね。なお、現在越境移転に関する下位規則の草案が出されており、今後あまり時間をおかずに、越境移転に関する下位規則が発効される見込みですので、近々ある程度の道筋が見えるように思います。

なるほど、ブラジルでもそのような対応がされていると認識しておりますが、苦肉の策として同様の対応をしている例があるということですね。
越境移転との関係で重要な論点の1つである、データローカライゼーションについても確認しておきたいと思います。GDPRでTIAを実施することとの関係でも重要な点となります。データローカライゼーションは、簡単に申し上げると、国家監視を強める観点から、国家による監視が可能なように、データを国内で保存するという規制であるとも言われます。データローカライゼーションの規制が最も厳しいのはロシアと言われますが、中国ではどうでしょうか。

中国では、まずネットワーク安全法において、「重要情報インフラの運営者」は、中国国内での事業活動によって収集し又は発生した個人情報及び重要データを、中国国内で保存しなければならないと定められています。また、個人情報保護法においても、①重要情報インフラの運営者及び②取り扱う個人情報が国家ネットワーク情報部門の定める数量(データ域外移転安全評価規則では、(i)取り扱う個人情報の数が100万人分以上の場合、又は(ii)前年1月1日以降に域外に移転した個人情報が累計10万人分以上若しくは同じく域外移転した機微な個人情報が累計1万人分以上の場合とされる)に達している個人情報取扱者は、中華人民共和国国内において収集し、及び発生する個人情報を、国内で保存しなければならないとされています。

ありがとうございます。直近の動きとしては、ベトナムのデータローカライゼーション規制の動向も重要と思います。西尾先生はウェビナーでご解説いただいたので、詳細はウェビナーをご覧いただきたいところですが、どういったところが重要でしょうか。

ベトナムでは一定の要件を満たす場合に一定期間ベトナム国内でデータ保存する義務がありますが、2022年10月1日施行のサイバーセキュリティ法に関する政令(Decree No.53/2022/ND-CP)では、外国事業者と国内事業者で適用される規制が区別されており、要件が異なります。外国事業者については、政府当局が違反行為を通知し、協力等を要請したにもかかわらず、当局の措置に協力等をしなかったことということが要件の1つであり、適用場面はある程度限定的となり得るのに対し、国内事業者については、政府当局による通知等がなくても、個人情報等のデータをベトナム国内に保存する義務を負う可能性があります。そのため、国内企業に対して広範なデータローカライゼーション義務があるといえ、例えば日本企業のベトナム子会社に対しても適用され得る点に留意が必要です。

ありがとうございます。データローカライゼーション規制が存在する国は限定的であるものの、これらの国は要注意ですね。
先生方、本日はどうもありがとうございました。今回は、処理根拠、域外適用、越境移転規制といった論点を中心に、GDPRと米国、アジア諸国との差異や実務上の対応について議論しましたが、次回以降、また他の論点についても取り上げたいところです。次回もよろしくお願いします。
当該業務分野に関連する弁護士等
-
- 更新日
- 2022年12月26日
※公開時時点の最新情報となりますので、ご了承ください。