平時におけるサイバーセキュリティ法令対応整備(海外個人情報保護法令編)

2024年2月19日(月)13:30~14:30に開催されたセミナーをコラム化した記事です。アーカイブセミナー本編では、本コラムでは記載していない「質問回答&パネルディスカッション」も収録していますので、是非お申し込みください。

「サイバーセキュリティ対応の企業実務」出版記念シリーズセミナー
第4回 平時におけるサイバーセキュリティ法令対応整備(海外法令編)

<セミナー概要>

欧州GDPR、米国カリフォルニアCCPA、中国個人情報保護法を中心に海外法令に対応するための体制構築を説明します。セミナー前半に執筆者による解説を行い、後半は皆様からお申し込み時に頂いた質問をもとにパネルディスカッションをいたします。

<無料>

記事一覧

デジタルフォレンジックに関する記事の一覧はこちらから

1.代表的な海外の個人情報保護法令は?

今回のテーマは、平時における海外個人情報保護法令対応です。海外法令対応は、企業がグローバルに事業展開する上で避けて通ることのできない重要な課題です。

海外法令は、各国で異なっており、企業が対応すべき法令は、その企業の事業内容や進出先の国によって異なります。例えば、中国に進出している企業であれば、中国の個人情報保護法への対応が求められます。

下記の表に記載しておりますが、特に日本の企業が重点的に対応すべき法令として、欧州連合一般データ保護規則(GDPR)、英国のUK GDPR、米国のカリフォルニア州消費者プライバシー法(CCPA)及び児童のオンラインプライバシー保護法(COPPA)、中国の個人情報保護法を例に挙げ、海外法令対応の体制整備について、以下ご説明します。

個人情報保護法令特徴
GDPR(欧州)・欧州の個人情報保護法制(実質的にグローバルスタンダード)
・個人情報の定義の範囲(オンライン識別子)
・インシデント認識後72時間以内の当局報告義務がある
・当局による積極的な執行
UK GDPR(英国)・英国のEU離脱後、英国についてはUK GDPR
・GDPRとほぼ共通だが、越境移転規制に用いるSCCの違いに要注意
CCPA(米国カリフォルニア州)・米国カリフォルニア州の個人情報法保護法制
・現在は複数の州で個人情報保護法が成立しているが、特にカリフォルニア州に重点的に対応している企業が多い
COPPA(米国)・米国のChildren’s Online Privacy Protection Act
・保護者同意の要件が非常に厳密
・当局による制裁リスクが高い
中国の個人情報保護法(中国)・越境移転規制が非常に厳格
・標準契約(SCC)とプライバシー影響評価(PIA)の当局届出義務がある

(1)GDPR(欧州)

GDPRは、欧州一般データ保護規則の略で、実質的にグローバルスタンダードとなっている欧州の個人情報保護法です。

GDPRが施行されて以降、多くの国でGDPRを参考に個人情報保護法が制定されました。そのため、世界中の多くの国でGDPRと類似した法律が施行されています。例えば、タイやブラジルもその一つです。

つまり、GDPRへの対応は、欧州への対応というだけでなく、グローバルな視点での個人情報保護の対応と言えるのです。多くの企業は、GDPR対応を起点として、他の国の法律への対応を検討しています。

GDPRの特徴として、まず、個人情報の定義が日本法と異なる点が挙げられます。GDPRでは、クッキーやIPアドレスなど、日本法では個人情報とみなされないような情報も、個人情報として扱われます。この点は、GDPR対応において特に注意が必要です。

次に、当局への報告義務が厳しく定められている点が挙げられます。GDPRでは、個人情報に関するインシデントが発生した場合、72時間以内に当局に報告することが義務付けられています。72時間の制限は、休日・祝日に関わらず適用されるため、企業は迅速な対応体制を整える必要があります。

さらに、GDPRは、当局による積極的な執行が特徴です。欧州各国では、個人情報保護に関する当局が厳しく法執行を行っており、GDPR違反に対する罰金は非常に高額になる可能性があります。

このように、GDPRは、世界中の企業が対応すべき重要な法律であり、特に厳しい規制が課されています。GDPRへの対応は、グローバルなビジネス展開において不可欠な要素と言えます。

(2)UK GDPR(英国)

ご存じのように、英国はEU離脱(ブレグジット)以前はEUに加盟していたため、GDPRが適用されていました。EU離脱後も、英国ではGDPRとほぼ同様の内容を持つUK GDPRが制定され、適用されています。

ただし、一点注意すべき点として、域外移転に関する規定が若干異なります。具体的には、個人データを域外に移転する際に使用する標準契約条項(SCC)が、UK GDPRでは一部変更されています。この点については、英国へのデータ移転を行う際には、注意が必要です。

とはいえ、UK GDPRはGDPRをベースとしているため、両法への対応は多くの部分が共通しています。つまり、GDPRへの対応をしっかりと行っていれば、UK GDPRへの対応も比較的容易にできることになります。

(3)CCPA(米国カリフォルニア州)

アメリカは、連邦レベルでは包括的な個人情報保護法が存在せず、各州が独自の個人情報保護法を制定・運用しているという特徴があります。

現在、約10州が個人情報保護法を制定しており、その中でも特に注目すべきは、カリフォルニア州消費者プライバシー法(CCPA)です。カリフォルニア州は、アメリカで初めて包括的な個人情報保護法を制定した州であり、その内容もGDPRとは異なる独自性があることが特徴です。

アメリカにおける個人情報保護法対応を考える際、本来的には各州法への対応が必要となりますが、多くの企業が、アメリカ法対応の第一歩としてスタンダード的存在であるCCPAへの対応を進めています。

(4)COPPA(米国)

アメリカには連邦レベルで包括的な個人情報保護法はありませんが、特定の分野を対象とした法律はいくつか存在します。その中でも特に重要なのが、COPPA(児童のオンラインプライバシー保護法)です。COPPAは、13歳未満の児童の個人情報の取り扱いに関する連邦法であり、児童の個人情報を扱う企業は遵守しなければなりません。

COPPAの主な内容は、保護者の同意取得義務です。しかし、COPPAにおける保護者の同意は、単に児童自身が「親の同意を得ました」と自己申告するだけでは不十分です。保護者の身元を厳格に確認する必要があります。例えば、保護者のメールアドレスに確認メールを送信し、ソーシャルセキュリティカードのコピーを提出させるなど、より確実な方法で保護者の同意を得ることが求められます。

COPPA違反に対する罰則は厳しく、高額な罰金が科される可能性があります。TikTokが巨額の制裁金を科された事例が有名ですが、他にも多くの企業がCOPPA違反で罰則を受けています。

特に、児童向けのアプリやサービスを提供している企業、又は幅広い年齢層のユーザーから個人情報を収集している企業は、COPPAを注意深く遵守する必要があります。

(5)中国の個人情報保護法(中国)

中国の個人情報保護法は、GDPRと多くの点で類似していますが、越境移転に関する規制はGDPRよりも厳格です。

中国から個人情報を海外に移転する場合、標準契約の締結や、プライバシー影響評価に関する当局への届け出が義務付けられています。つまり、中国の当局と密接なコミュニケーションを取りながら、越境移転の手続きを進める必要があるということです。この点は、他の国の個人情報保護法には見られない特徴と言えます。

関連記事

【コラム】マルウェア感染などサイバー攻撃を受けた時の初動対応

情報通信研究機構のレポートによると、サイバー攻撃関連のパケット数は2023年には約226万件となり……続きを読む

2.海外の個人情報保護法令への対応は、現地拠点に任せるのがよい?

よくご質問いただくこととして、海外の個人情報保護法への対応は、現地拠点に任せるか、現地で指導するか、どちらが良いかという点があります。このご質問への回答は、会社によって異なりますが、3つの重要な観点があります。

ポイント注意点
①海外の個人情報保護法令への対応は、日本の個人情報保護法対応と同等か、それ以上に負荷が大きい。現地拠点に十分なリソースはあるか?広範かつ厳格な通知を求められるプライバシーポリシー、越境移転のための標準契約別紙の作成、個人情報記録簿の作成、DPO(個人情報保護責任者)の選任要否やPIA(プライバシーポリシーインパクトアセスメント)の実施要否等が必要
→データマッピングの必要性
②各現地拠点に任せても、企業グループとしての統一的な対応を維持できるか?国横断の事業、人事管理システム、顧客管理システム、ガバナンスのための内部通報システム、etc.個人情報の処理はグループ横断で行われることも多い
→グループが一体となって足並みを揃えることが必要
→親会社主導で導入したシステムは、現地拠点の担当者が詳細を把握していない場合がある
③親会社(日本法人)への域外適用をケアしているか・「欧州の法律は欧州拠点の問題」だけではない。
→海外の法令の域外適用に注意
→日本法人においても適用有無の検討が必須

①現地拠点のリソースの有無

海外の個人情報保護法対応は、日本の個人情報保護法対応と同等か、それ以上の負荷がかかります。そのため、まず、現地拠点に十分なリソースがあるかどうかを検討する必要があります。

日本の個人情報保護法対応において、自社ではどの部署がどのような体制で対応しているか、具体的にどのような業務を行っているか(データマッピング、社内規定の作成など)をイメージしてください。現地拠点で同様の対応が可能かどうかを判断する材料となります。

現地拠点の体制が充実している場合、現地で主導して対応を進めることができます。しかし、人員が少なく、専門的な部署がない場合は、日本本社がサポートする必要があります。

②企業グループ全体の統一的な対応

リソースの有無だけでなく、現地拠点に任せた場合に、企業グループ全体で統一的な対応が可能かどうかという点も重要です。

例えば、人事管理や顧客管理は、日本本社が中心となって行っている場合があります。現地拠点では、これらの情報がどのように扱われているか把握できていない可能性があります。この場合、日本本社がサポートする必要があります。

③親会社への域外適用の考慮

現地拠点が自国の法律に基づいて自身が必要な対応を進めても、グループ全体としてはそれだけでは十分ではありません。親会社である日本法人に外国の法律が適用される場合があるからです。現地拠点では、この点を見落としがちです。日本法人は、現地法の自社への域外適用についても検討する必要があります。

3.個人情報保護法令の域外適用とは?

親会社である日本法人への現地個人情報保護法の域外適用という話が出てきましたが、まず現地拠点への域内適用について確認し、次に日本法人への域外適用について以下に説明します。

(1)適用パターン1(現地拠点への域内適用)

現地拠点への域内適用についてですが、原則として、法の適用は各国の法域内で行われます。つまり、中国の法律であれば中国に、シンガポールの法律であればシンガポールに適用されるということです。

資料5ページ目の図に示されているように、現地拠点が、現地従業員、現地消費者及び中国の取引先担当者から個人情報を収集している場合、現地拠点に対しては、当該国の個人情報保護法が当然に適用されます。

(2)適用パターン2(日本法人への域外適用)

一方、日本本社にも現地の個人情報保護法が適用される場合があります。これを域外適用と言います。域外適用の要件は国によって異なり、一律の基準はありません。

よくある域外適用の要件としては、現地消費者に対して商品やサービスを提供している場合や、現地個人の行動を評価・分析する場合などが挙げられます。例えば、中国法やGDPRでは、このような行為を行う海外の会社に対しても、現地の個人情報保護法が適用されます。

また、フィリピン法のように、その国の国民の個人情報を取り扱う海外の事業者に適用されるとする法律もあります。さらに、条文には明記されていなくても、解釈上、域外適用されると考えられる法域もあります。

このように、域外適用の要件は多岐にわたります。しかし、共通して言えるのは、現地消費者や従業員に対して直接的に商品やサービスを提供している場合、域外適用される可能性が高いということです。

資料5ページ目の下の図のように、日本本社がWebサイトやスマホアプリを現地に直接提供している場合、典型的な域外適用の場面と言えるでしょう。そのような場面がないかを確認するということから、日本本社も現地の個人情報保護法への対応を検討する必要があります。

4.個人情報の越境移転とは?

現地法令対応の中でも、個人情報の越境移転は重要なテーマです。なぜなら、日本本社と海外の現地拠点間の事業連携において、個人情報が国境を越えて移動するケースが頻繁に発生するためです。

越境移転とは、国内で収集した個人情報を国外に送信したり、国外の法人がアクセスできる状態にすることです。国内で保存していても、国外からアクセスできれば越境移転に該当します。

以下に例をあげていますが、越境移転対応の手続きは、国によって大きく異なります。

例えば、EUから米国へデータを移転する場合、米国は十分性認定を受けていないため、同意又は標準契約が必要になります。中国は、同意、標準契約、越境移転評価のいずれの要件も満たす必要があるため、手続きが非常に複雑です。このように、越境移転は、各国で異なる規制が適用されるため、注意が必要です。

EU同意、標準契約、又は十分性認定が必要
中国同意、標準契約、越境移転評価のいずれも必要(かつ届出が必要)
米国越境移転に関する規制は特にない
シンガポールデータ移転契約が必要
インドネシア事前・事後報告が必要
ベトナム影響評価と届け出が必要

5.海外の個人情報保護法令のためのチェックリスト

各国で個人情報保護に関する規制は異なりますが、資料7ページのチェックリストは、GDPRを参考に、一般的な対応項目をまとめたものです。このリストを用いて、各拠点の対応状況を確認し、不足している部分をサポートすることで、より効果的な法令対応を実現できます。

このリストには、プライバシーポリシーの作成、データ処理契約の締結、インシデント対応フローの整備などが含まれています。これらの項目を確認することで、現地拠点でどの程度の対応がすでにできているか、できていない対応はないかを洗い出すことができます。

ただし、このリストはGDPRを主に参考にしたものであり、全ての法域に適用できるものではありません。例えば、中国では、プライバシー影響評価(PIA)の実施が義務付けられています。そのため、各国固有の要件についても、別途確認する必要があります。

7.さいごに

海外の個人情報保護法令対応は、企業のグローバル展開において不可欠です。特に、GDPRをはじめとする各国法の要件は複雑多岐にわたります。本資料では、主要な法令の特徴や対応すべき事項について解説しました。企業は、事業内容や進出先国に合わせて、適切な対応策を検討することが重要です。

フォレンジック調査ならTMIP&S

TMI総合法律事務所およびTMIプライバシー&セキュリティコンサルティングでは、サイバーインシデント対応支援、フォレンジック調査に対応しております。サービス内容の詳細や費用につきまして、お気軽にお問合せください。