2024.10.24
レポート
諸外国の個人情報保護法制・ガバメントアクセスについて
渥美坂井法律事務所
弁護士 松岡 史朗氏
2018年のGDPR施行以降、世界各国で個人情報保護法制が制定あるいは改正され、それらの情報は比較的入手が容易となってきました。一方で、ガバメントアクセスに関しては、欧州において重要な判決が出され、一定の制度整備が進んでいるものの、そもそもガバメントアクセスとは何か、またガバメントアクセスが日本の個人情報保護法制の中でどのような位置づけになっているかを正確に理解されている方は少ないのではないかと思います。
当事務所は昨年総務省からの委託により、41の国・地域に対し、電気通信事業者が取り扱う特定利用者情報へのガバメントアクセスに関する大規模な「特定利用者情報の適正な取り扱いに影響を及ぼすおそれのある外国の制度に関する調査」※1を実施しました。電気通信事業法と聞くと「自社とは関係がない」と思われる方もいらっしゃると思いますが、ガバメントアクセスは電気通信事業法だけではなく、個人情報保護法でも義務が課せられているので、多くの企業は対応が必要となります。
海外のデータの管理に関する個人情報保護法の規律
日本の個人情報保護法では、安全管理措置(法23条)の1つとして「外的環境の把握」が定められており、「外的環境の把握」も公表事項となります(法32条、ガイドライン通則編(3-8-1))。
「外的環境の把握」につきましては、以下の3点に分けて、整理・検討してください。
- ①外国に置いて個人データを取扱う場合
- ②当該外国の個人情報の保護に関する制度等を把握した上で
- ③個人データの安全管理のために必要かつ適切な措置を講じなければならい
ご注意いただきたいのは、①に関してクラウド例外がある「提供」と異なり「安全管理措置」は非常に範囲が広い、②はGDPRや各国の個人情報保護法だけでなくガバメントアクセス等の制度も含まれる、③についてはガイドラインには具体的な「必要かつ適切な措置」が明記されていないので、例えば、海外の捜査機関等から個人データにアクセスを求められた場合の対応については個別に検討する必要がある、という点です。
また、個情法28条では「外国にある第三者への個人データの提供の制限」が規定されています。提供の根拠として、本人同意や基準適合体制などが定められているところ、同意の際に本人へ提供する情報にはガバメントアクセスも含まれる、また基準適合体制に基づく場合も本人の求めがあればガバメントアクセスに関する情報も提供しなければならないという点に注意が必要です。
さらに、基準適合体制に基づいている場合は、定期的な確認義務が課せられている点も忘れてはなりません。定期的な確認義務には、事業者が保有する個人情報について、政府による広範な情報収集が可能となる制度も含まれることがガイドライン(外国提供編6-1)に明記されています。ガバメントアクセスに関する制度があること自体は、直ちに外国にある第三者による「相当措置の継続的な実施の確保が困難となった時」(停止義務の要件)には該当しないので、リスクや権利侵害について個別具体に考える必要があります。
諸外国の個人情報保護法制とガバメントアクセス
インドの個人情報保護法制とガバメントアクセス
41の国・地域全てをご説明する時間はございませんので、インドについて少しだけ申し上げます。
インドに対して、民主主義で日本と同じ価値観を持つ国というイメージをお持ちの方も多いと思いますが、EDPBの公表資料によれば、インドはロシア、中国と並んで、ガバメントアクセスの制度に問題がある国とされており、私たちの調査でも、個人の権利に重大な影響を及ぼす可能性のあるガバメントアクセスに関する制度を設けている国、EU各国とは異なる制度を持つ国として整理しています。
個人情報保護法制とガバメントアクセスに関する制度は対立関係にある制度です。調査では、インドについては、包括的なデジタル個人データ保護法を有する一方で、情報の傍受や通信の傍受、センシティブ個人データ・情報の取得、サイバーセキュリティ事案等への対処等の制度は重大な影響を及ぼす可能性があると結論づけています。
上記の内、情報の傍受についてもう少し申し上げますと、情報の傍受に関する制度は色々な国が有しています。インドの2000年情報技術法69条、69B条で定められた情報の傍受は、法令において特定された目的の達成に必要な範囲での情報収集がなされていない可能性がありました。情報の傍受の透明性が確保されていない、法令遵守を確保するための監督審査の仕組みがない、情報収集により権利侵害された場合の救済/不服申し立ての制度が整備されていないという点等から、重大な影響を及ぼす可能性があると結論付けました。
この他、タイ、中国、ベトナム、マレーシア、ロシアに関しても、重大な影響を及ぼす可能性のあるガバメントアクセスに関する制度を調査結果として取りまとめています。
OECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」
OECDは2022年に「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」を公表しています。この宣言は重要です。宣言にはEU各国や韓国、オーストラリア、トルコ、アメリカ、日本等が参加し、ガバメントアクセスの正当化、国境を越えたデータ流通における信頼の促進を謳っています。
正当というととても抽象的ですが、宣言ではガバメントアクセスに関する原則として
1)法的根拠
2)正当な目的
3)承認
4)データの取扱い
5)透明性
6)監督
7)救済
といったものが整備されることによって、初めて正当であると言えるとしています。
なお、電気通信事業法では令和四年改正で情報取扱方針の作成義務が設けられ、ガバメントアクセスにより外国政府に提供を行った場合、総務大臣に報告しなければならないと定められています。現在検討されている個人情報保護法改正では、ここまでの内容は盛り込まれない可能性はありますが、事業者、制度によっていろいろなガバメントアクセスに関する制度が設けられているという点にご留意ください。
本内容は、2024年9月20日に開催されたJIPDECセミナー「グローバルビジネスにおけるデータの利活用と保護 ~データ越境移転ルールの最新動向~」講演内容を取りまとめたものです。
- 講師
- 渥美坂井法律事務所 弁護士 松岡 史朗氏
2005年京都大学法学部卒業。
2006年弁護士登録。
2016年から渥美坂井法律事務所・外国法共同事業にて執務。
2019年から一般社団法人日本DPO協会 顧問、2020年からステート・ストリート信託銀行株式会社 社外取締役(監査等委員)。