個人情報を海外へ提供する際、注意すべきポイントを解説！

インターネットの普及に伴い、情報の漏洩や情報の管理に関する問題は、身近な話題となってきました。中でも顧客などから集めた「個人情報」の流出・不正利用は、企業の信用度を左右する、大きな社会問題にもなっています。
そして、個人情報の保護に関する法令は、国ごとにその内容が変わっているのが実情です。
そこで本記事では、海外と日本の個人情報保護法の違いを理解するために、個人情報保護法の意味や内容、そして各国の個人情報の取り組みについて徹底的に解説していきます。

1.個人情報とは？

個人情報とは、個人を識別することができる情報のことです。
具体的には、氏名、生年月日、性別、電話番号、メールアドレスなどの、個人を識別することができる情報を指します。
日本では、これらは個人情報保護法によって定められています。

2.外国にある第三者へ個人情報を提供するには？

外国にある第三者へ個人情報を提供する際には、前もってその個人データを使用する旨を、本人に確認して、同意してもらう必要があります。

そして、個人情報取扱事業者は、同意をしていただくうえで、下記3点の内容を本人に知らせる必要があります。
➀移転先の国名
➁当該外国の個人情報保護に関する制度
➂第三者が講ずる個人情報の保護のための措置情報
（個人情報保護法28条2項、個人情報保護法施行規則17条2項）

2-1.外国にある第三者とは何を指すのか

外国にある第三者とは、当該個人データによって識別される本人以外の者（第一者）と、個人データを提供する個人情報取扱事業者（第二者）を意味します。そのため、第三者は、外国にある企業や、外国政府などが含まれます。参考までに、以下に各シチュエーションごとの適用有無を記載しておきます。

①外国事業者が日本に出張所を有する場合

外国事業者が日本に出張所を有し、日本から個人データを提供する際には、事業の営みのためにその個人データを差し出す行為に対して、外国にある第三者への提供に該当しません。
（個人情報保護法28条1項）

②日本法人の海外支店に提供する場合

日本法人の海外支店に個人データを提供する場合は、当該外国支店への個人データの提供は、外国にある第三者への提供に該当する可能性があります。（個人情報保護法28条1項）

③海外サーバに個人情報を含むデータを保存する場合

自らが管理する海外サーバに個人情報を含むデータを保存する場合は、外国にある第三者への提供に該当しません。（個人情報保護法28条1項）

④使用するクラウドの運営が海外事業者の場合

使用するクラウドの運営が海外事業者の場合は、サーバが国内にある場合であっても、外国にある第三者への提供に該当する可能性があります。（個人情報保護法28条1項）

⑤外国にある委託先に個人情報保護法の域外適用される場合

外国にある委託先に個人情報保護法の域外適用される場合には、個人情報保護法の域外適用の対象となります。（個人情報保護法166条）

3.外国へ個人情報提供を認める本人の同意

仮に自社が外国に個人情報を提供する際には、あらかじめ「本人の同意」を得る必要があります。
データ主体である本人に、データの利用について同意を得る際に、伝えておくべき事項について以下に記載しておきます。

3-1.本人同意時に必要な情報提供

外国にある第三者に個人データを提供する際には、以下の3つを本人に確認し同意を得る必要があります。（個人情報保護法28条1, 2項）
➀移転先の国名
➁当該外国の個人情報保護に関する制度

4.GDPR・CCPA・PDPAって何？

GDPRとは、欧州連合に居住する個人情報の収集と処理に関するガイドラインを定めた法令です。一般データ保護規則とも言います。

CCPAとは、アメリカ・カリフォルニア州の住民を対象としたプライバシー保護を定めた法令です。カリフォルニア州消費者プライバシー法です。

PDPAとは、シンガポールで事業を営む日本企業や、シンガポールに所在する企業と取引を行っている日本企業に適用される法令です。シンガポール版個人情報保護法とも言います。

5.日本国内と海外の個人情報保護法の動向

最近では、中国やタイのような、今まで個人情報の保護に関する法令が制定されていなかった、アジア圏にまでその影響が広まっています。また、個人情報の保護に関する法令は、国ごとでその内容に違いがでてきます。
そこで、以下では各国の個人情報の保護に関する法令やその動向を紹介していきます。

5-1.アメリカの動向

アメリカでは、2020年1月にCCPAが施行され、カリフォルニア州民の個人情報に関する取り締まりが強化されました。
ただし、CCPAは日本の個人情報保護法より包括的な法律ではないようです。

5-2.EU諸国の動向

EU諸国では、2018年にGDPRが施行され、従来の法令よりも規定内容や罰則が大幅に厳格化されました。
GDPRでは、氏名や生年月日などの代表的な個人情報のほか、位置情報やIPアドレス・Cookieなども対象としています。

5-3.中国の動向

中国では、2017年に中国サイバーセキュリティ法が施行され、情報管理における広範囲な規定が設けられました。
サイバーセキュリティ法はEUのGDPRを意識した内容となっており、一般市民から企業、そして国家レベルでのデータ保全に努めているようです。

5-4.韓国の動向

韓国では、2020年にデータ3法が改正・施行されました。データ3法とは「個人情報保護法」「情報通信網利用促進および情報保護などに関する法律」「信用情報の利用および保護に関する法律」のことを指します。
また、2021年12月には、EUの十分性認定の採択を受けるに至りました。

5-5.シンガポールの動向

h3 5-5.シンガポールの動向
シンガポールでは、2014年にPDPAが施行され、2021年2月にその改正が施行されました。
PDPAでは、主に以下の3つの義務が課されています。

• 個人情報保護の責任者の選任
• PDPAで定められている原則に即した手続きの整備
• その旨を従業員に周知・研修を行うこと

5-6.タイの動向

タイでは、2022年6月にタイ版のPDPAが施行されました。
タイのPDPAは、基本的にEUのGDPRがモデルとされています。ただし、罰則に関しては、1年以下の懲役もしくは最大100万タイバーツの罰金、またはその両方を含む「刑事罰」が生じる可能性があり、若干の違いがあります。

5-7.インドの動向

インドでは、2011年に個人情報保護規則が施行されています。そして、2019年には個人情報保護法が国会で審議されています。
インドもタイ同様に、EUのGDPRがモデルとされています。

6.日本における法律と動向

日本では、2020年6月に改正個人情報保護法が施行されました。
ただ日本の個人情報保護法は、CCPAやGDPRと比べて、個人側が有利な内容ではありません。

そのため、今後の日本では、個人情報の保護をさらに強化し、個人の安全を守るためにも、EUのGDPRに近い基準が作られていくと考えられます。よって、消費者が企業に求めるセキュリティ水準を満たし、社会的信用を得ていくためにも、企業は最大限の情報管理に対する意識が求められてくると考えられます。

7.まとめ

本記事では、海外と日本の個人情報保護法の違いを理解するために、個人情報保護法の意味や内容、そして各国の個人情報の取り組み、についてを徹底的に紹介してきました。
中でも中国やタイなどの国では、EUのGDPRを参考にして、国独自の要素を盛り込みながら、個人情報保護の枠組みを定めていることをご理解いただけたかと思います。

また、日本はEUのGDPRを採用していませんが、日本企業においても、EU域内との取引があり、個人情報を扱う場合にはGDPRが適用となる可能性があります。

株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRの対策に、お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。