個人データ等の保管先・アクセス権設定の注意点

2022年

個人データ等の保管先・アクセス権設定の注意点



弁護士 幸尾 菜摘子

 

我が社は海外取引をしていないので、外国法や越境ルールは気にしなくて大丈夫・・・と思っていませんか?そのような場合でも、海外の個人情報保護法等や日本の個人情報保護法の越境ルールが適用されることがあります。

まず、海外のレンタルサーバーや海外にデータセンターを置くクラウドを利用して個人データを保管していると、現地のサーバー事業者やクラウド事業者には現地法が適用されるため、その制約を受けることがあります。

また、日本国内の社内サーバー等でデータを管理している場合でも、例えば事務作業等を安価な海外事業者に委託している場合などに海外から日本国内のデータへのアクセスを認めていると、個人データを海外事業者に提供していることとなり、日本の個人情報保護法の越境ルールを遵守する必要があります(法24条)。国内での外部委託の場合、「第三者への提供」に関する厳しいルール(個人の同意取得やオプトアウトなど)ではなく、緩やかなルールが別途設けられていますが(法22条、23条5項)、「外国にある第三者への提供」の場合、外部委託であってもルールの緩和は認められませんので、注意が必要です。令和4年4月施行の改正個人情報保護法では、「外国にある第三者への提供」に関するルールが厳しくなるため(提供先の国名・当該国における個人情報保護法制度の概要・提供先のプライバシーポリシー等など、提供先に関する情報提供を拡充し、提供先の契約履行状況や当該国の法令の制定改廃状況を定期的に把握するなど(法24条2項))、現行ルールを遵守している事業者においても見直し作業が必要になる場合があります。

さらに、個人情報保護法よりも広い視点、プライバシーガバナンスという点でも、個人データの取扱いルールを定め、適切にフォローアップし、利用者に対して分かりやすい説明をすることも重要です。一例ですが、LINE株式会社が中国からのデータアクセスを認めていた件でも、個人情報保護委員会は「外国にある第三者への提供」の規定違反は認められず、利用目的の通知や外国の第三者への提供が明記されていたと公表しましたが、利用者間に不安・不信感を抱かせる事態となってしまいました。

今一度、個人データの取扱いを見直していただき、ご不明な点がございましたら、当事務所へご相談いただけましたら幸いです。