国外に個人情報を越境移転するには、セキュリティ評価、個人情報認証、標準契約の署名という3つの方法のうち1つに準拠する必要があります。3つのコンプライアンス方法の中で最も簡便な方法である個人情報越境移転標準契約は、常に現地企業や日本本社の関心を集めてきました。2023年2月22日に公布された「個人情報出境標準契約弁法」(以下「本弁法」)は、これまで注目されてきた標準契約の内容、標準契約の適用条件、契約の届出などの問題に対応しています。
本弁法は2023年6月1日に施行予定であることから、本弁法施行前に、関連内容を理解、学習することが不可欠です。
1.『標準契約』の適用主体を限定
標準契約の締結を通じて個人情報を国外に越境移転するには、同時に以下の条件に適合する必要があります。
①基幹情報インフラストラクチャーの運営者でないこと
②処理する個人情報が100万人未満であること
③前年1月1日から境外に対し提供した個人情報が累計10万人未満であること
④前年1月1日から境外に対し提供した機微な個人情報が1万人未満であること
2.標準契約は発効後10営業日以内に届け出なければならない
個人情報処理者は、標準契約が発効した日から10営業日以内に所在地の省級のインターネット情報部門に届け出なければならず、届出時に標準契約及び個人情報保護影響評価報告書を提出する必要があります。
標準契約の届出をしない場合、是正命令、罰金などの行政処罰を受ける恐れがあります。
3.標準契約の届出時に個人情報保護影響評価も提供する必要がある
個人情報保護影響評価の具体的な方式はまだ規定されていないものの、実務では2022年8月31日にインターネット通信弁公室が発表した「データ国外移転安全評価申告ガイドライン(第1版)」の「データ国外移転リスク自己評価報告(テンプレート)」を参考に評価報告書を作成することが可能であると考えられます。
なお、個人情報保護影響評価報告書は最低でも3年間保存されなければならないことにも注意すべきです。
4.本弁法で標準契約を雛形に厳格に従って締結することを規定
標準契約の雛形を変更することはできず、本弁法の雛形に厳格に従って締結しなければなりません。追加する必要があるその他の内容については、標準契約と矛盾しない内容であれば、標準契約の付録2の中で各当事者に有利な条項を定めることができます。
◆日系企業へのアドバイス
一般的に、新法規の発効から完全な運用までには時間がかかることが多いものの、標準契約を普及させるため、主管機関が新法規の発効後大規模な特別法執行活動を主導的に展開する可能性もあり、早めの準備と対応を行うことでリスクの発生をある程度回避、または軽減することができます。最近、標準契約の作成、補充、適用などについての問い合わせも多くなっています。読者の皆様も必要に応じ、いつでも弊所へお問い合わせください。