国際的な個人情報・プライバシーの問題は、名誉毀損と一部類似しているものの、独自の問題がありますね。[編集部]
国際的な個人情報の取扱い・プライバシーの侵害
1.はじめに
前回(ウェブ連載版『最新判例にみるインターネット上の名誉毀損の理論と実務』第28回)は、国際的な名誉毀損の問題について説明した。名誉毀損と近接する国際的な個人情報の取扱い・プライバシーの侵害についてはどのように考えればよいのだろうか。
以下、いくつかの国際的な個人情報の取扱い・プライバシーの侵害に関する事例を検討しよう。
相談事例1-1:国際的な個人情報の取扱いが問題となる事例
Aは日本に支店を有さない米国企業である。
Aは、日本語のウェブサイトを開設し、オンラインサービスを日本人にも提供している。サービスを受ける場合には、ユーザーはその個人情報を入力しなければならない。Aはユーザーの個人情報をユーザーリストの形でデータベースとして管理している。
日本人であるBは、Aのサービスを利用するため、日本から個人情報をAに送信した。
実は、Aが安全管理措置を講じていなかったので、その後Aのユーザーリストデータベースが漏えいし、Bに対しダイレクトメールやフィッシングメール等が届くようになった。
Bは、Aを訴えたい。
相談事例1-2:国際的な個人情報の取扱いが問題となる事例
A1は日本に支店を有さないが子会社A2を有している米国企業である。
A2は顧客がA2のサービスを利用する際に個人情報を記入してもらっており、この個人情報をユーザーリストの形でデータベースとして管理している。
BはA2のサービスを利用する際、個人情報をA2に渡した。
A2は、親会社であるA1にこの情報を渡した。A1も個人情報をユーザーリストの形でデータベースとして管理している。
実は、A1が安全管理措置を講じていなかったので、その後Aのユーザーリストデータベースが漏えいし、Bに対しダイレクトメールやフィッシングメール等が届くようになった。
Bは、Aを訴えたい。
相談事例2:国際的なプライバシー侵害が行われた事例
Aはアメリカに住んでいるアメリカ人である。
AはSNSで日本に住んでいる日本人であるBと知り合いになり、当初は環境保護を訴える政治団体ソイ・ビーンズでともに環境保護活動を行っていた。ところが、ソイ・ビーンズが温室効果ガス排出量の削減のためには原発が必要だという姿勢を明確にすると、Bは反原発の立場からこれに強く反発し、ソイ・ビーンズを批判するようになった。Aはソイ・ビーンズの立場を擁護したことから双方の関係が悪化し、Aは、SNS上で設定を公開とした上で、
「Bはソイ・ビーンズを批判しているが、実はソイ・ビーンズの会員だ」
として、Bのソイ・ビーンズ会員証の写真を投稿した。
Bは、Aを訴えたい。
2.国際的個人情報の取扱い
(1)はじめに
事例1-1および事例1-2は国際的な個人情報の取扱いの問題である。
特にウェブサービス等は容易に国境を超えるので、外国の企業に個人情報を渡すことも少なくない(事例1-1)し、直接は日本の企業に個人情報を渡したのだとしても、それが外国の企業に提供されることもある(事例1-2)。
このような場合に、日本人(日本居住者)の個人情報が不適切に取り扱われないようにするよう、改正個人情報保護法の下では、以下のような対応がなされる。
(2)取得に関する規律
まず、事例1-1のAによるBの個人情報の「取得」の部分については、改正個人情報保護法上にこれを直接規律する規定はない。
この点につき通則編ガイドライン(注1)は、個人情報の取得の行為の重要部分が国内において行われる場合には、(日本の)個人情報保護法が直接適用されるとする(通則編ガイドライン6-1)。このような日本法の適用範囲に関する解釈について、標的基準(Targeting Criteria)という考え方が参考になる。すなわち、外国の行為者が、自国の個人を標的として何らかの行為を行った場合に、その行為に対して自国法が適用可能であるとするものである(注2)。
そこで、AによるBの個人情報の「取得」については、適正な取得(個人情報保護法17条)や直接書面による取得(個人情報保護法18条2項)等の規律が適用されると解される(通則編ガイドライン6-1)。
(3)域外適用(事例1-1)
改正個人情報保護法は域外適用について法75条という明文を設けた(注3)。
ここでいう域外適用とは、外国(注4)の事業者に対しても、個人情報保護法の一部の規定を適用するということであるが、2点留意が必要である。
1つ目は、法定の要件を満たした場合にはじめて個人情報保護法が域外適用されるということである。法75条は「国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合」にのみ域外適用がされるとしており、その具体例としては、
・日本に支店や営業所等を有する個人情報取扱事業者が外国にある本店において個人情報又は匿名加工情報(以下「個人情報等」という。)を取り扱う場合
・日本において個人情報を取得した個人情報取扱事業者が海外に活動拠点を移転した後に引き続き個人情報等を取り扱う場合
・外国のインターネット通信販売事業者が、日本の消費者からその個人情報を取得し、商品を販売・配送する場合
・外国のメールサービス提供事業者が、アカウント設定等のために日本の消費者からその個人情報を取得し、メールサービスを提供する場合
等が挙げられている(通則編ガイドライン6-1(注5))。
本件のAも、国内にある者であるBへのウェブサービスという役務提供に関連し、Bを本人とする個人情報を取得しており、そのAが外国で個人情報を取り扱う場合として、域外提供の要件を満たすと思われる。
2つ目は、域外適用される条文は法75条で列挙されたものに限定されており、例えば、報告徴収・立入検査(個人情報保護法40条)や命令・緊急命令(個人情報保護法42条2項、3項)については準用されていない。その理由は外国の主権との関係で、当該外国の領土内でこのような権力的行為を行うことが困難というものと理解される(注6)。
もっとも、重大な漏洩事件等が発生した場合に十分な対応ができるよう、法78条は外国執行当局への情報提供の規定を定めた(注7)。改正前も国際的個人情報漏えい事件があったものの、あくまでも公務員の秘密保持義務(国家公務員法100条1項)の範囲でしか情報の融通ができないといった困難があった(注8)。改正により、例えばアメリカのAが起こした事件について、日本の個人情報保護委員会がアメリカの当局(例えばFTC)に情報を提供し、適切な対処を求めるといったことが可能となる。
(4)外国第三者移転(事例1-2)
日本の個人情報取扱事業者(A2)が外国の第三者(A1)に個人データを移転する場合がある。このような外国にある第三者に個人データが移転される場合、上記の域外適用規定が適用されないことには留意が必要である。
その理由は、このような外国第三者移転については、改正個人情報保護法が第24条で明文規定を設けており(注9)、日本の個人情報取扱事業者(A2)は、外国にある第三者に個人データを提供する際の義務(法23条~法25条)を守らなければならないことから、提供先である第三者(A1)側に個人情報保護法の適用が及ばなくともその保護を図ることができるからである(注10)。
個人情報保護法上は、
①本人の同意を得る
②法23条1項各号に掲げる場合に該当する
③「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定める」外国にある第三者に提供する
④「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」に提供する
の4つの方法があるとされている(注11)ものの、上記③については、平成29年春の改正個人情報保護法の本格施行時点では、規則で「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」は定められないこととなった(注12)。
逆に、④については、規則11条(注13)が、
イ 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
ロ 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること
の2パターンを規定する。
ロについては、APECの越境プライバシールール(CBPR)システムの認証を得ていることとされている(外国にある第三者への提供編ガイドライン3−3)。
イについては、外国にある第三者への提供編ガイドライン3-1以下がその要件を詳しく説明しており、要するに以下の表にある各条項に相当する内容が担保されるように、A1とA2の間の契約・グループプライバシーポリシー等で定めておく必要がある。
別表2:国際的な枠組みの基準との整合性を勘案した「法第 4 章第 1 節の規定の趣旨に沿った措置」
(※1)法第4章第1節の各規定と国際的な枠組みの基準(OECDプライバシーガイドラインおよびAPECプライバシーフレームワーク)とを対比した上で、当該各規定の趣旨が当該国際的な枠組みの基準に整合していると解される場合に「○」と記載している。
(※2)従業者の監督については、APECプライバシーフレームワークに規定はないものの、安全管理措置(法第20条)の一部であることから、外国にある第三者においても措置を講じなければならない。
(※3)苦情の処理については、APECプライバシーフレームワークに規定はないものの、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度であるAPEC越境プライバシールール(CBPR)システムに参加する事業者の参加要件となっていることから、外国にある第三者においても措置を講じなければならない。
出典:外国にある第三者への提供編ガイドライン3-2
事例1-2では、外国にある第三者への移転を可能とする4つの方法のうちのどの方法を活用して移転がされたかは不明であるが、例えばA2とA1の契約上安全管理措置等を講じることが約束されていたのに、A1が安全管理措置を講じず漏えいしてしまったという場合には、A2からA1への移転そのものは法24条の要件を一応満たしていたと言える(注14)。もっとも、A1が一切安全管理措置を講じていないという場合には、A1は当該契約違反としてA2に対して責任を負うことになるだろう。また、個人情報保護委員会は、前記の法78条等に基づきアメリカの当局(例えばFTC)に情報を提供し、適切な対処を求めるといった措置を講じることを検討することになるだろう。
【次ページ】国際的プライバシー侵害