できない?日本から海外へは同意なく個人データを送ること
今回、個人情報保護法が改正された裏側には、グローバル化など、小さな会社やお店には関係
ないと感じられているという問題も大きく関係しています。
なので、個人情報保護法に関して、深く・広くもう少しその裏側を知りたい方に向けて、
解説していきます。
「海外にある第三者に個人データを提供する場合は、本人の同意が必要」という
のが結論で、この改正がおこなわれたため、非常に多大な影響を及ぼす可能性があります。
改定後は海外の会社に預ける際には本人の同意が必要になってしまい、これは大きな問題です。
最近の大企業では従業員の雇用管理情報を海外の子会社で処理することが多く行われていると
思いますが、この行為は、普通は「委託」になるので、本人の同意は不要だったためです。
では、実際に、どんな影響があるのか考えてみましょう。
影響を最初に受けるのは、ビジネスを展開をグローバルにしている企業です。
例をあげれば、日本やアジア各国でビジネスを行っている会社があり、その会社ではアジア地区全体を管轄する経理部がマレーシアだけのケースを想定してみます。
この場合、日本からマレーシアに日本で働いている従業員の個人データを送る時には、本人の同意が必須になります。
グループ企業であれば個人データは共同利用できるはずでしたが、「委託、合併等、共同利用
は、第三者提供にあたらない」という例外がありましたが、改正によって、この例外はなくな
り、日本国内での個人データをやりとりする場合にしかあてはまらなくなります。
ですので、たとえグループ企業であったとしても、海外に個人データを送ることができなくなりました。
ただし、原則は本人の同意が必要ですが以下のケースの例外が2つあります。
この場合は、本人の同意は不要です。
①提供先の国が、個人情報保護委員会が認定した国のとき
たとえば、個人情報保護委員会が「この国は日本の個人情報保護法と並ぶだけの法制度があ
る」と認定すれば、その国に個人データを送る時に本人の同意は必要なく、国全体が認定の対
象国であれば、第三者提供は可能となるのです。
②提供先の国は個人情報保護委員会の認定していない国であるが、提供先の会社が
個人情報保護委員会が認める体制を有しているとき
提供先の会社が国際的なプライバシー保護の認定(CBPR)を受けている時や
契約書、覚書によって安全管理措置力が裏付されているケースであれば本人の同意なく
個人データをやりとりすることが可能です。
海外への第三者提供が本人の同意が必要なった背景
改正が行われ「海外に個人データを提供することについては本人の同意が必要」となったわけ
には、EU(ヨーロッパ連合)との外交交渉の問題が存在します。
今現在、EUにはデータ保護指令というものがありますが、これがあることで、、EUの域内で
は個人データの自由にやり取りを行うことができます。
しかし、EUの外と個人データの移転をおこなう場合は、本人の同意が必要となります。
ただし、「この国は個人情報の保護として十分な措置を行っている」とEUのデータ保護機関か
ら認めてもらえば、本人の同意はいらないのです。
ところが、「十分性の認定」をEUのデータ保護機関が行わないという状態となっています。
日本企業がEUの域内でビジネスを行う時に大きな支障となっていて、これは外交交渉と同時に
ビジネス上の大きな負担となっているのです。
例をあげていえば、日本企業がEU内でインターネットでのサービスを提供して集めた、
マーケティングデータも、それが個人データであった場合は、日本に送ることができないので
す。
方や、オプトアウトで本人の同意の必要なく個人データの提供が日本では可能なため、
EUの企業は日本で得た個人データをせっせとEUに送っているのです。
結果そして、今は日本企業がとても不公正な状態になってしまっています。
そこで、今回の改正で「日本から海外に個人データを送る際にはすべて本人の同意が必要」と
なったわけです。
これにより、初めて対等な外交交渉ができるようになります。
「EUが日本の十分性を認めなければ、日本もEUを認定国としません」と主張し実際、
EUとの交渉がすでに始まっています。
余談ですが、EUとアメリカの間では「EU-USプライバシー・シールド」を合意されており、
個人データの移転は認められています。
また、アメリカには個人情報保護法というのはありません(EUにはデータ保護指令があります)。
すべてが自主規制となっています。
アメリカは個人情報に関する法律を作っていません、しかし、企業がプライバシーポリシー等
で、どのように個人情報を取り扱うかをすべて公表することを義務づけていて、
アメリカは非常に理にかった仕組みとなっています。
各企業はその内容を自由に決めることができる一方、その内容を公表して、厳守する必要があります。
その公表したルールとしてあげられているにも関わらずその対策が実際にはなされていない場
合は「欺瞞的取引」として、連邦取引委員会(FTC)から違反行為として制裁金が課せられます。
そして、プライバシーポリシー等を慎重に検討する必要が、日本企業がアメリカでビジネスを
おこなう上で必須となります。
また現在、個人情報の問題は日本国内だけの問題ではなく、世界規模で取り扱いが議論されて
いる問題のため自由に個人データをやり取りできる仕組み作り(CBPR)がAPEC(アジア太平洋
経済協力会議)内では進められています。
「匿名加工情報」に変えれば個人情報ではなくなる「ビッグデータ」
いちばん大きい事柄と思われる項目が、「匿名加工情報」の概念が定められたことです。
大企業にとってはこの改正は、今回の特に大きいポイントとなっています。
これは、簡単にするとビッグデータとは、昔の技術では扱うとこのできなかった大量のデータ
のことですが、それを「ビッグデータの解析をできるようにしよう」ということとなりました。
また、「特定の個人を識別することができないように個人情報を加工し、それを復元できないようにしたもの」が匿名加工情報とされています。
本人の同意は必要なく、匿名加工情報を三者に提供できるのです。
これでビジネスを行いやすくしています。
というのも、個人情報にならないと思っていたものでも、それを提供しようとすると、消費者が「個人情報の提供ではないか」と意をとなえて、提供ができない状態になっていたからで
す。
「個人情報ではない」というものを匿名加工情報として法律で規定したわけです、
これによって、ビジネスに利用することが可能となりました。
「匿名加工情報」の特有の取り扱い
「特定の個人を識別することができないように個人情報を加工し、それを復元できないように
したもの」と匿名加工情報は定められていますが、この加工とは、どのようにすれば匿名にな
るのかがまいちよくわかりません。
そこで、「個人情報保護委員会規則で定めます」とされていて、法律で決めてはいません。
加工した個人情報が匿名加工情報のこの規則にしたがっているか、
注意点としては、作成時には加工方法等に安全管理措置をとる必要があります。
また、匿名加工情報を取扱う際は、他の情報と照合をおこなうことをしてはいけません。
それは、照合することにより、個人情報がに元に戻ってしまうからです。
匿名加工情報を第三者に提供するときには、本人の同意は不要ですが、それは、匿名加工情報
を元の個人情報に復活させないという条件でやり取りする必要があります。
そして、第三者から提供を受けた匿名加工情報を取り扱う際には、本人を識別するために他の情報と照合してはいけません。
これでビジネスでの利用することができるようになりました。
まとめ
ここまで、グローバル化とビッグデータをキーワードにしてみてきました。
「海外にある第三者に個人データを提供することについて本人の同意が必要になる」という改
正が行われたことにより、グループ企業であっても海外へは個人データを送ることができなく
なったのです。
しかし、例外が2つあります。
①提供先の国が、個人情報保護委員会が認定した国であること
②提供先の国は個人情報保護委員会の未認定国であるけれど、提供先の会社が個人情報保護委
員会が認めている体制を確保していること
海外への第三者提供が本人の同意が必要になったのは、
EUの域外に個人データを移転する場合は、本人の同意が必要とされている一方、
日本からはオプトアウトで本人の同意なく個人データの提供が可能だったので、EUの企業
は日本で集めた大量の個人データをEUに送っています。
この、不平等な状態にからの解決をはかるための措置となります。
今回の改正で追加された、「匿名加工情報」の概念が定められ「これは個人情報ではない」と
いうものを匿名加工情報として法律で定められたことでビジネス進めることができるようにな
いりました。
以上をふまえ、海外への第三者提供が本人の同意が必要であり、また、「匿名加工情報」で
は、個人情報を加工し、それを復元できないようにしたもので、匿名加工情報を元の個人情報
に復活させないという条件であるというとこを認識して匿名加工情報を取り扱うことが大切で
す。