EU・アメリカ・中国から個人情報を移転する際の法律的注意点【2022年2月加筆】

海外子会社等が取得する情報を日本企業に移転する

海外子会社等が取得、保有する情報を日本企業に移転する際には、どのような点に留意する必要があるのでしょうか？

海外から日本企業に情報を移転する際の主要な規制は以下のとおりであるが、これに加えて、従業員の情報を移転する場面、顧客の情報を移転する場面など、取得する情報の種類・場面によって、留意すべきポイントが加わるケースがあります。

例えば、従業員の情報については、EUにおいては、労働契約の履行、法的義務の遵守といった根拠上必要なものに限定されているため、そのような目的に従って取得・移転しているかを検証する必要があり、越境移転を正当化する個別の根拠・規制を確認しておく必要があります。

EUからの個人情報移転

GDPR は、第三国(または国際機関)に対する個人データの移転を原則として禁止しています。

その上で、以下の場合は個人データの移転はOKとの例外を設けています。

1. 個人データについて標準データ保護条項(SDPC)等により適切な保護措置がなされており、かつ一定の要件を満たす場合
2. 当該第三国等について十分なデータ保護の水準が確保されていると欧州委員会が認めた場合(十分性認定)

この点、日本への個人データの移転の局面については、日本が欧州委員会から十分性認定を取得できたことから、例外規定に基づく移転が可能となった。

したがって日本本社に従業員等の個人データを移転する場合、日本への移転に際して、親会社と欧州子会社との間で 許可等の手続は不要です。

もっとも、例外規定がOKだからといって日本企業のGDPR対応が不要となるわけではありません。日本企業としてもきちんとGDPR対応をするようにしましょう！

アメリカ（米国）からの個人情報移転

個人情報保護等の外国移転について、米国は国内法制と同様に包括的な規制枠組みを有していません。

しかし、個別規制の中には外国の事業者に対しても適用されるものがありません。したがって、移転元や移転しようとする情報に応じて課される規制を参照する必要がある。

例えば、米国から米国外への個人情報の移転に規制が存在します。欧州から米国への域外移転についてプライバシーシールドという枠組みが定められていますが、この枠組みにより欧州から米国に移転されてきた情報を米国外へ移転する場合には、移転先の事業者と一定の契約を締結する等、プライバシーシールドで求められるのと同等の保護水準を遵守させる義務が課されています。

プライバシーシールド上の義務に違反した場合には、自発的な対処や事象の公表義務が参加事業者に課されているほか、主として FTC5条による執行の対象となります。

また、CBPR(Cross Border Privacy Rules)の認証を受けた事業者が、表明している施策を実行していないことが判明した場合には、不公正または欺瞞的な行為または慣行として、FTC法5条違反により処罰を受ける可能性があります。

この他、米国外に情報を移転する行為について、米国の国家安全保障に脅威を与える態様で悪用される可能性のある米国国民の機微個人情報を保持または収集する事業に該当するとして、CFIUS(対米外国投資委員会)による米国内への投資審査が必要になる場合もあるので、 注意が必要です。

中国からの個人情報移転

中国では、ネットワーク安全法に基づく個人情報等の国内保存義務が定められているほか、特定の業種における情報の国内保存義務が定められており、日本企業に情報を移転する際には、これらの規制に注意する必要があります。

Tweet