個人情報保護法 2022年4月改正
改正個人情報保護法(以下、改正法と称します。)が、2022年4月に施行されました。
今回の改正の大きな目玉は、個人データの海外移転や海外での情報管理に規制が入ったことです。
この改正は、勿論、中国をはじめとする非民主主義国家・非自由主義国家における、国家ぐるみの情報テロの脅威が増大する中における、日本人の個人情報の保護という趣旨に基づきます。
これまで、クラウド時代を迎える中で、そのインフラであるサーバーが、ユーザーからみて、どこに設置されているか、ほとんど、ブラックボックスでした。
ユーザーが、クラウド業者に、サーバーが国内に設置されているのか、という質問を送っても、ほとんどの業者は、無回答だったのが、これまでの実態でした。
この状態から考えると、おそらく、これまでの日本のクラウドサービスの提供業者のほとんどは、サーバーを設置してある場所を、消費者に「公開したくない場所」においていたと推測できます。
実際、大手メガバンクでさえ、つい、数年前まで、中国が一国二制度を事実上否定している香港にサーバーを置いていたというのが、実態でした。
従って、2022年個人情報保護法の改正は、IT事業者をはじめとする企業に、相当の意識変革と負担を要求するものだと言えるのではないでしょうか。
情報の海外移転の要件
改正法は、海外に個人情報を移転させることを規制の対象とし、海外移転ができる場合の要件を以下のように定めました。
- 本人の海外移転への同意(移転国・移転国の個人情報保護制度・移転先でのデータ保護措置を示す義務あり)
- 個人情報保護委員会規則で定める基準に適合する体制を整備した事業者への移転
- 日本と同等の個人情報保護の水準国での移管(EU連合や英国が該当)
これまで、本人に移転先を開示せずに、中国や香港のサーバーに、漫然と個人情報を移転していたIT事業者は、これが禁止されました。
もちろん、先に書きましたように、クラウド業者に、サーバーが国内に設置されているのか、という質問を送っても、ほとんどの業者は、無回答だった、というような体制は、今後は、もう認められません。
「攻めのプライバシー」の姿勢も重要
ただし、移転先がデータにアクセスしないなどの契約を締結し、更に、移転先がデータにアクセスできない技術的な制御を加えれば、上記の要件を満たさない海外移転も認められます。
個人情報保護法は、これまで、その成立や改正があると、事業者は過度にそれを怖れ、事業活動そのものを辞めてしまったり、法で許される措置でも萎縮してしまう企業が多くみられました。
しかし、人口知能での分析技術は、日本や欧州よりも、米国や中国が先行し、技術水準が高いことは事実です。
コンプライアンスを重視しすぎるあまり、データをいたずらに国内に囲い込み、非効率なガラパゴス状態に陥るべきではありません。
説明責任や情報開示責任、契約締結責任をしっかりはたし、契約や技術的なセキュリティ体制を整備したうえで、海外の企業も積極的に利用する「攻めのプライバシー」もまた、今後の日本企業にとって重要な視点ではないでしょうか。
以上、参考になれば幸いです。
続く