5月21日に衆議院で可決された、「個人情報の保護に関する法律」、いわゆる個人情報保護法の改正案(個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案)。改正による各種の変化は、ビジネスの現場にどのような実務的な影響を与えるのだろうか。
10年前の個人情報保護法完全施行時には、その前後に大規模な個人情報漏洩事件が相次いで明るみに出たことも影響し、さまざまな混乱や過剰反応が起きた。そこで本稿では過去の反省を踏まえて、想定される幾つかの実務的な影響を具体的に検討してみたい。なお、改正案については後日政令によって確定する部分があるなど、まだ不確定な要素を含んでいることをご了承頂きたい。また、本稿は私見であり、所属組織などの公式見解ではない。
海外への個人情報の第三者提供
本稿で取り上げたい1つ目の変化は、「海外への個人情報の第三者提供」についてである。改正案の新24条では「外国にある第三者への提供の制限」として、以下の2つの条件どちらも満たさない外国の第三者に個人情報を提供する場合には、「外国の第三者に情報を提供する」ことについて本人からあらかじめ同意を得なければならない、としている(以下2つのどちらかを満たせばよい)。
- (1)日本と同等の水準で個人情報が保護されている、と認められた国にある
- (2)日本の個人情報取扱事業者と同じような個人情報保護の体制を整備している
改正案条文 (外国にある第三者への提供の制限)第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
この時、上記(1)の条件について「認める」のは、新たに設立が予定されている個人情報保護委員会である 。従って、現時点ではどの国や地域が認められるかは未定であり、「個人情報保護委員会規則で定める基準」は個人情報保護委員会が設立された後(2016年1月以降)、策定されることになるだろう。なお、第23条5項各号は除かれていないため、「委託」「合併」「共同利用」の場合にも適用されると解さなければならない。
