CHAPTER 02. 越境移転

今回は越境移転規制に係る実務上の対応について議論させていただきます。令和２年改正により外国にある第三者に対して個人データを提供する場合（以下「越境移転」という）には、本人への情報提供が義務付けられました。これにどう対応するかが難しいわけですが、前提として、越境移転のための法的根拠（個人情報保護法（以下「法」という）28条）と一般的な第三者提供のための法的根拠（法27条）の組み合わせを整理しておきたいと思います。ご参考までに、弊事務所弁護士によるNBLの連載記事（※1）から表を抜粋します 。この表に記載のとおり、法令に基づく場合等の例外を除いて、実務上、主に、５通りの組み合わせが検討されるかと思います。各組み合わせの留意点や越境移転規制の詳細は、NBLの連載記事（※2）をご覧いただけたらと思いますが、令和２年改正で導入された情報提供義務の観点で指摘しておくべきことはありますでしょうか。

令和２年改正法の情報提供義務は、個人データの越境移転が増加する中で、それに伴うリスクについての本人の予測可能性を向上させるということを意図したものですが、情報提供のあり方は移転の根拠によって異なります。すなわち、本人の同意を越境移転の根拠とする場合は、「事前に」本人への情報提供が必要となる一方で、いわゆる相当措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制の整備（以下「基準適合体制の整備」という）を根拠とする場合には、「本人の求めがある場合」に情報提供が必要となります。このように選択した越境移転の法的根拠によって本人に情報提供するタイミングと本人に提供すべき情報の内容等が異なるため、事前に越境移転の法的根拠を確定しておくことが特に重要となります。

ありがとうございます。法改正前はいずれを根拠として越境移転をしているのか不明な不適切な事業者が散見されました。EEA諸国や英国への移転であれば、この表のⅣまたはⅤを選択することで、情報提供義務の問題は回避できますが、それ以外の場合だと、どう情報提供義務に対応すべきか検討が重要ですね。

各組合せにメリット・デメリットがあるとは理解していますが、Ⅲをオプションとして勧めることはあまりないように思います。28条を基準適合体制でクリアするなら、27条も委託・共同利用でクリアする、つまりⅡが多いのでは。Ⅲは実際上どういったケースが想定されますでしょうか。

実務上必ずしも頻繁に採用されるわけではないですが、たとえば、海外に本拠を置く会社が、グローバルなプライバシーポリシーや利用規約をそのまま日本でも用いて、グループ会社間で個人データを共有する場合がありますね。法27条との関係では委託や共同利用も選択肢となり得るものの、委託の実態がない場合や、比較法的には共同利用という制度自体が珍しいので、海外の親会社が日本の子会社との関係でのみそれに依拠することを望まないことがあります。その場合、従業員やサービスの利用者であれば法27条の同意を得ることは容易である一方、グローバルなプライバシーポリシー雛形をそのまま利用すると法28条の同意に必要な事前情報提供としては足りない（ものの法28条については既に基準適合体制でクリアできている）ため、結果として、法27条に基づく本人の同意を得ることを選択することを希望する場合があります。

では、越境移転の根拠として本人の同意を選択した場合、各社が実際にどう対応しているか議論していきましょう。まず、ガイドラインでは、本人から同意を得る際の本人に対する情報提供の方法としては、電子メール、書面の直接交付、口頭説明、ホームページに掲載し本人に閲覧させる方法が挙げられているのですが、実際にはどのような方法を採用することが多いでしょうか。

プライバシーポリシーに情報提供項目を記載する例も増えるかと思ったのですが、実際には記載していない例も多く見られます。

全ての事業者が越境移転についてプライバシーポリシーに詳細な記載をしているわけではなく、たとえば、「当社は法令で定める場合を除き、本人の同意を得ることなく個人データを第三者に提供しません」とだけ記載している例もありますね。

そもそも越境移転をしていない事業者がそのような簡潔な記載とすることはあるのですが、越境移転している事業者であっても、公表している当該事業者全体の個人情報の取扱いについて定めたプライバシーポリシー上では特段の追記をしない例もあります。特定のサービスやアプリにおいてのみ越境移転が生じる場合は、その利用規約や個別のプライバシーポリシーを作成している場合もあります。

ありがとうございます。ガイドライン上は口頭説明も１つの情報提供の方法として挙げられていますが、実務上は、本人に確実に認識いただく観点から、文書の形で示す例を採用することが多いですね。その文書がプライバシーポリシーであることがありますが、それにこだわる必要はなく、プライバシーポリシーとは別の説明文書を用意する例もあります。ここは各社の対応方針によるところですが、何らかの文書にするとした場合、どのような点に留意してアドバイスされてますでしょうか。

少なくとも越境移転に関する条項が他の個人情報の取扱いに関する条項等と明確に区別され、本人に理解されるように示す必要があると考えていますが、その観点では、越境移転について独立の項目を設けて必要な事項を分かりやすく説明するようにしています。説明する量がプライバシーポリシー等の文書全体と比較してアンバランスになる場合には、別紙の形を提案することもあります。

なるほど。越境移転に関する条項を他の事項と明確に区別するという点は「金融分野における個人情報保護に関するガイドライン」（以下「金融GL」という）でも指摘されている重要なポイントですね。

次に、本人同意を得る際の具体的な各項目の記載方法について議論させてください。提供すべき項目は、①外国の名称、②適切かつ合理的な方法により得られた当該外国における個人情報保護制度に関する情報、③当該第三者が講ずる個人情報の保護のための措置に関する情報ですが、これを文書に記載するとして、どのような工夫が見られますでしょうか。

実際の例をみると、提供先となる外国が１または２か国であればプライバシーポリシーに記載しても読みにくさはないと思うのですが、より多くの国に提供する場合には、越境移転の情報提供項目の記載が大半を占めることになり、見栄えが悪くなります。そこで、別紙を作成して、本体のポリシー上では、別紙へのリンクを貼る等の対応がみられます。この点、リンク先をいくつもたどらないと情報提供のページにたどり着かないような場合は別ですが、越境移転の情報提供を行うページへのリンクが分かりやすい形で示されているのであれば、リンクによる対応を行うことで、プライバシーポリシー上の記載はスッキリしますね。

たしかに、別紙や別ページへのリンクを設ける例は良くみますね。上記②の外国の個人情報保護制度の記載に関して伺いますが、個人情報保護委員会が40か国分の個人情報保護に関する制度を調査し、その結果を「情報提供文書」として公表したことを受け、どう対応されてますか。

一番多いのは情報提供文書が掲載されているウェブページのURLを貼るパターンでしょう。これは、「個人情報の保護に関する法律についてのガイドライン」に関するQ＆A（以下「QA」という）の12-10でも認められているところです。情報提供文書は表形式でわかりやすくなっており、これを示せば説明したことにはなると思われるので、これを示す導線を用意することが実務的対応になるかと思います。

ウェブベースのビジネスであれば、情報提供文書のURLを掲載する対応をする場合が多いと思うのですが、紙媒体の同意書面を用いる場合には当該 URL の近くにQR コードを掲載すること等により、本人が当該URLの指定する Web ページに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要があると考えられます。このことは、「金融機関における個人情報保護に関するQ&A」（金融QA）に言及があります。

QRコードですか。確かに紙にURL書いてるものを掲示されたりFAXで送られても、URLを一文字ずつポチポチ打ってアクセスしようという奇特な人はなかなかいませんよね。ただ、実際にそこまで意識して対応している事業者は多くないという認識です。

その点は今後の改善を検討すべき点として認識しておきましょう。ところで、外国の個人情報法制度は、事業者の責任で、「適切かつ合理的な方法」により確認することが必要であり、個人情報保護委員会も情報提供文書において、同資料はあくまで「補助的なもの」として参照するものと説明されています。また、金融QAでは、「適切かつ合理的な方法」による確認は、個人情報取扱事業者の責任において行うべきものであり、個人情報保護委員会が提供する情報は、あくまで補助的なものとして参照する必要があるとしたうえで、当該事業者が当該外国における個人情報保護制度に関する情報について一般的な注意力をもって適切かつ合理的な方法により確認を尽くした結果、当該事業者として本人に提供すべき情報が、個人情報保護委員会が補助的なものとして提供する情報と同じである場合は、個人情報保護委員会が提供している情報を「適切かつ合理的な方法」として本人に提供することが考えられるとしています。これは、40か国についても独自に調査する義務があるということでしょうか。

そこの解釈が悩ましいところですが、ガイドラインでも「適切かつ合理的な方法」の例としては、「我が国又は外国の行政機関等が公表している情報を確認する方法」が挙げられています。性質上、個人情報保護委員会の調査結果は、全ての事業者が関係する細かな業法等を網羅的に完全に説明することは難しいとは思いますので、この文書で挙げられていない制度が実際には存在する可能性があります。記載されていない制度が本人の保護を厚くする方向の制度であれば、ある意味それが漏れていても、より保護が手厚いのだから実害はないのかもしれません。しかし、実は、日本の個人情報保護法と抵触するようなガバメントアクセスの定め等が細かな業法にあったりした場合は、問題になるでしょう。各企業が、実は、そういうものがある（らしい）ことを認識しつつ、個人情報保護委員会の文書には明記されていないので敢えてスルーしてしまうような場合は問題だと思いますが、そうではなく、結果的に、なかなか調べにくいようなものがあったことが後から判明してしまったような場合に、個人情報保護委員会が外部法律事務所も起用して調べても調べ尽くせなかったものについて、個別の企業に責任を問うのは酷ではないかとは思われ、そのような状況で、果たして現実に執行をしていくのかというところはあるかとは思います。

概ね情報提供文書に依拠することで問題はないといったところでしょうか。情報提供文書が公表の直後に、一部誤りもあって、個人情報保護委員会に指摘してみたところ、すぐに微修正が入りましたね。闇雲に内容を信用してはいけないということなのかもしれません。

各国の個人情報保護制度の動きは激しく、たとえば、個人情報保護委員会が調査を実施した時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性はあります。その意味で、厳密には調査時点日以降の改正の有無の調査も必要ではないかという論点はありますが、現実に40か国について事業者が一から独自の調査を実施している例はないように思います。条文解釈としては、「適切かつ合理的な方法」による外国の個人情報保護制度の調査として、どこまで求められているのか、ということになるかと思います。

いずれにしても、各国で個人情報に関する法制度の制定・改正が相次いでいることから、情報提供文書があるから安心とはならなそうです。では、40か国以外についてはどのような調査をしていますでしょうか。だいたい費用の目安も気になるところです。

情報提供文書やその元となった法律事務所による報告書を英訳して、現地の法律事務所に趣旨を伝えて英語で表を作成してもらい、こちらで和訳するという作業があり得るかと思います。費用の目安は依頼する現地の法律事務所にもよりますが、新規に調査する国であれば1ヶ国あたり数十万円程度といったところでしょうか。

最近では40か国以外の国の調査結果を公表している法律事務所もあります。また、既に独自に調査をした事業者はその結果を自社ホームページで公表しています。そのような、個人情報保護委員会が作成した情報提供文書ではない資料を流用しようとするとする事業者も現れそうですが、こうした事例についてはどう考えますか。

我々としては、どのような調査経過を経ているのか不明なものについてはリスクがとれないとして独自の調査を勧めることもありますが、最近は、そのようなリスクをとって流用する例もあるようです。調査費用も安くないですし、スタートアップ企業等ではやむを得ない経営判断なのかもしれません。

私が見た限りでは、公表している調査結果の内容が、各社で異なってしまっている例も散見されます。個人情報保護委員会が40か国といわず、EEAを除く全世界を対象に追加調査をすることが望まれますね。

全事業者の要望かもしれませんね。次に、「当該第三者が講ずる個人情報の保護のための措置に関する情報」について議論させてください。提供先が、OECDプライバシーガイドライン8原則に対応する措置を全て講じている場合には、その旨を本人に情報提供すれば足りるとされます。他方で、当該措置を講じていない場合には、当該講じていない措置の内容についての情報提供が必要とされています。

今の点ですが、そもそも、OECD8原則に対応する措置を講じていない第三者に提供していいのだろうかという問題提起はあって良かったように思います。提供先は契約等でその遵守を義務付けることができるはずですし、講じていない措置があれば、その分、本人の権利利益が害される危険性があるわけで、その手間を惜しんで、本人にリスクを寄せることが妥当かは議論があるはずです。とはいえ、実務的な提供の必要性も考慮して、ガイドラインは、本人が自らリスクを判断して同意すればいいという判断なのかもしれません。

仰るとおりかと思います。また、OECD８原則との対応関係を示すとして、その判断が難しい事例があります。その場合には、「現地法を遵守しています」という説明だけをする例もあるようです。現地法を遵守しているというだけを説明しても、消費者である個人が越境移転のリスクを適切に判断できるのかという疑問はやはりあります。

現地法は遵守していますと説明した上で、現地法と日本法の差分はどこにあるのかは個人情報保護委員会の情報提供文書を見てくれということはあり得るかと思います。しかし、いざ個人情報保護委員会による情報提供文書の個別項目を一つ一つみても、具体的な日本法との差分を理解しづらいというのは事実だとは思います。何らかの点数付けをした上で、国別にこの国はリスク大（赤）・リスク中（黄色）・リスク小（青）みたいにリスク度合いを3段階で色分けした方が余程わかりやすいような気はしているのですが、なかなか勝手にそういう色分けをすると色々各国からもクレームのつきそうですので難しいのかもしれません･･･。

越境移転について本人から同意を得る際に提供先が特定できない場合は、個人情報保護法上、情報提供項目に代えて、特定できない旨とその理由、さらに参考情報を伝えることになります。ガイドラインでは、保険会社における再保険の事例などが挙げられておりますが、実務上は、他にどのような事例がありましたか。

実務上は、特に、将来的に発生するかもしれない、外国企業への委託の場合がよく問題になると思います。基準適合体制の整備で整理すればそれで良いのですが、同意でやりたいという場合にどこまで広く認めるのかは問題になりますね。

この例外を根拠とする場合、当該事業者は外国の個人情報保護制度に関する情報提供が不要となるので、その前提としての調査も不要となりますが、何ら情報を提供しなくてよいわけではない点には注意が必要ですね。

はい、それは、参考情報として、どこまで伝えるべきかという問題でしょう。外国の候補が具体的に定まっている場合は当該候補を伝える必要があります。現在は候補地ですらないような国を除いて、候補国の名称と当該候補国の個人情報保護制度を伝える必要はあるでしょう。ところで、本人から同意を得る際に、提供先の第三者は特定できているが、すぐにその国の法制度の調査を行うことが難しい事例もあるように思います。たとえば、本人からの指示に基づいて外国にある第三者に対して、個人データを含む情報を提供する場合、本人からの指示に基づく性質上、提供先となる外国は全世界が対象となります。

その点は興味深いところでして、そのような場合も明文上の例外はありません。そうすると、形式的には、提供元の事業者が当該外国の個人情報の保護に関する制度及び当該第三者が講ずる個人情報の保護のための措置に関する情報を調査して、情報提供する責任があるということになりそうです。

海外送金の例や国内の旅行代理店を通じて海外旅行を手配した場合の当該代理店から航空会社や宿泊先への提供の例が想定できますね。この点については個人情報保護委員会の見解は明らかではありませんが、実務上は、各事例において可能な範囲での対応はしているようです。他方で、これらの事例では、本人が自ら、当該外国に対して情報提供することを望んでいるわけですので、明文上の例外として定まっているわけではないものの、今後の議論として、情報提供義務を一定程度緩和する余地もあり得るとは思います。そもそも外国に関する情報提供義務の趣旨は、個人データの取扱いにつき本人の予測可能性を高めることにあるのですから、本人が自ら提供先を具体的に特定し、当該事業者に提供の指示をした場合には、情報提供義務を緩和しても本人の権利利益の保護にもとるところはない、という考え方もあり得るでしょう。

似たような事例として、航空会社による利用者の個人データの提供もあり得るかと思いました。ただ、私がある航空会社のホームページを見たところ、案内されているのは個人情報保護委員会の情報提供文書だけで、40か国以外の整理は不明でした。

その点も興味深いですが、たとえば、航空会社が就航する国が40か国やEEA・英国に含まれている限りは、情報提供文書への案内で十分だとも判断できそうですね。

個人的には、この論点については、そもそも、情報提供義務に、今議論している「特定できない場合」以外の例外がないのが厳しいな、と思っています。例えば、本人が海外のホテルを公式ウェブサイトから直接予約する場合は、ホテルが直接本人から個人情報を取得していますので、情報提供義務を含む越境移転規制は適用されませんよね。一方で旅行会社経由で海外のホテルを予約すると、旅行会社から海外のホテルに個人データが提供されるということで旅行会社に情報提供義務が課せられてしまいます。これに関連して、個人データの第三者提供に関する確認・記録義務については、ガイドラインで「本人による提供」や「本人に代わっての提供」であれば、解釈上適用が除外されてますよね。海外送金は「本人に代わっての提供」の典型例だと思います。なぜ越境移転の情報提供義務は確認・記録義務と同じような例外がないんでしょうか。

蔦弁護士のご指摘は、先ほどの岡田弁護士の発言と同趣旨と理解しました。第三者提供の確認記録義務も明文上の例外ではなく、前回の改正法が成立した後で、ガイドラインにより解釈上の例外として設けられたもので、実務上の要請に柔軟に対応したものと認識しています。情報提供義務に関しても、このような解釈上の例外を設けることが完全に否定されているわけではなく、今後、同じような例外が示される余地はあるように思いますし、期待しています。

次に、基準適合体制に基づく提供の場合ですが、こちらは事前の情報提供ではなく、本人の求めがあった場合のみとなります。そうすると、あらかじめプライバシーポリシー等の文書の形式にして予め示す形にしておく必要はありません。もちろん、問い合わせがあった場合に回答すべき内容は準備しておく必要があります。情報提供事項のうち、例えば、「当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要」「当該第三者による相当措置の実施に関する支障の有無及びその概要」の２つは事前調査が必要ですが、個人情報保護委員会による情報提供文書の内容と重複する部分がありますので、これを参照するといった対応が可能です。本人から情報提供の求めがあった場合の留意点はありますか。

本人の同意を得る際は提供は同意後に行われるので提供先が不明ということがあり得ますが、基準適合体制の場合は、既に提供したものについて情報提供が求められます。そのため、提供先が不明という事態が起こり得ないはずですから、情報提供を省略することは予定されていません。

提供先が不明であれば相当措置をどう講じているのか担保できませんので、当然といえば当然ですね。

あとは、金融分野GLで、金融分野における個人情報取扱事業者は、本人の求めに応じて事後的に情報を提供する旨を「個人情報保護宣言」に記載の上、インターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする、とされていることから、これに倣ってプライバシーポリシー上にその旨を記載する事業者もいます。

基準適合体制の場合は、本人に対して事前に情報提供されないため、本人は自らの個人データが越境移転された事実を知る契機がないおそれがあります。いくら情報提供の求めができる制度があるとしても、実際に活用されないないことになりかねません。その意味で、プライバシーポリシー上に、そのような求めができることを記載しておくことは、本人に契機を与える点でも望ましい対応といえます。

あとは、金融分野GLでは、基準適合体制に基づいて外国にある第三者に個人データを提供した場合、提供先の第三者が所在する外国の名称ををインターネットのホームページへの掲載等により、公表するとともに、定期的に更新することが望ましいとされている点も参考になります。

ありがとうございます。一般の事業者がそこまで対応する例は多くないようですが、今後の対応動向にも注目していく必要がありますね。

ところで、基準適合体制を根拠として提供した場合において、「相当措置の継続的な実施の確保が困難となった場合」には当該第三者への提供を停止する必要があるわけですが（規則18条1項2号）、仮に提供先の国にガバメントアクセス等の制度があったとしても、当該制度の存在自体によって、これに該当するものではなく、当該第三者による個人データの取扱状況や、当該制度の運用の状況等を踏まえて、外国にある第三者による相当措置の継続的な実施の確保が困難となったか否かを個別の事案ごとに判断する必要があるとされております（QA12-17）。この点は、比較法的にはどう評価されるでしょうか。

たとえばGDPRでも越境移転に際してはデータ越境移転評価（TIA）が求められるわけですが、ガバメントアクセスの制度があるというだけで越境移転が絶対にできないというわけではなく、実際のガバメントアクセスのリスクに応じたリスクベースによる評価は許容されて然るべきかと思います。日本の個人情報保護法もこの点は同様かと思います。

では、実際にガバメントアクセスの要求に応じて個人データを提供してしまった場合は実務上どう対応すべきでしょうか。この点について、パブリックコメントにおいて、直ちに提供を停止しなければならないわけではないと回答されていますが、安易にそのまま提供し続けるわけにもいかないと思われます。

そのパブリックコメントにおいて、当該提供先において、当該外国の政府による要請に対応した個人データの提供が認められるか否かは、個人データの性質や提供の必要性等を踏まえた個別の事案ごとの判断が必要であり、例えば、提供の必要性が認められないにもかかわらず、当該提供先が漫然と個人データの提供を行っている場合には、当該提供先による相当措置の実施に支障が生じていると評価される可能性があるとされている点は重要でしょう。当然、提供元の事業者も提供先において提供の必要性がないのに漫然と個人データを提供していないかを定期的に確認する義務はあります。

基準適合体制に基づく越境移転をしたことで負担する定期的な確認義務として重要な点ですね。一方で、本人の同意を根拠として越境移転した場合にはこのような定期的な監督義務は明文上ありません。

ただ、本人から同意に基づき越境移転した場合であっても、当該提供行為が委託の趣旨である場合には、委託元として監督義務を負うべきという議論はあると思います。

委託先への監督義務としてガバメントアクセスへの対応についても責任を負う可能性があるということですね。そこは重要なご指摘かと思います。

外国がらみで、「外的環境の把握」についても簡単に議論しておきたいと思います。令和２年改正で保有個人データに関する公表等事項に安全管理措置が追加され、さらにガイドライン（通則編）の改正により、安全管理措置の内容に「外的環境の把握」という項目が追加されました。これにより、外国にある第三者に個人データの取扱いを委託する場合や、外国にある第三者の提供するクラウドサービスを利用する場合、外国に設置されたサーバに個人データを保存する場合等に対応が必要となります。

保有個人データの公表等事項に加わったことで各社のプライバシーポリシー対応をみると、外的環境の把握に関しては、「個人データを保管している外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」するという記載例や、単に「外国」にとどまらず、具体的な国名を記載する例があります。具体的な外国名を記載しない場合は、本人から問い合わせがあれば遅滞なく回答するという運用と理解しています。

そうですね。外的環境の把握とは、①外国において個人データを取り扱う場合に、②当該外国の個人情報保護制度等を把握した上で、③個人データの安全管理のために必要かつ適切な措置を講じることですので、②の前提として、調査は必要なわけですが、ガイドライン上、本人の知り得る状態におく必要があるのは、外国の名称であるとされているので、そのような対応が見られるところです。他方で、外国の個人情報保護制度は本人の知り得る状態におく対応が「望ましい」とされるにとどまりますね。そうすると、越境移転の場合と異なり、外国の個人情報保護制度について本人に伝える必要はないということになります。

セキュリティの文脈でも、海外でデータを取り扱うことは、特にクラウド利用の関係で、リスクとして捉えなければならないとされています。例えば、NISCが策定している「政府機関等の対策基準策定のためのガイドライン」でも、海外にデータセンターが設置されている場合、その国の執行機関の命令でデータが強制的に開示されたり、サーバーごと没収されたりするリスクがあるとされています。これはあくまで政府機関に関するものですが、重要インフラ関係のドキュメントにも同じような記述があります。個人情報保護法における外的環境の把握は、令和２年改正に関する政令・規則の整備に当たって、海外でのデータの取り扱いに関するリスクにフォーカスして、例のメッセージアプリ事業者に関する事案もあって正式にガイドラインで盛り込まれたという理解ですが、海外で個人データを取り扱うことのリスクを事業者自身が法制度を含めて把握することが重要であって、国はともかく法制度まで本人に示すことまでは不要という考慮もあったのかな、と思っています。後はそこまでの情報提供を求めるならさすがにガイドライン改正じゃなくて法改正でやれよ、とも思いますが。

なるほど、たしかに、条文上、安全管理措置が「必要かつ適切な措置を講じる」のみ規定されてますが、法律上、何を考慮し何をすべきかをより具体的に規定していくことも今後は検討されて良いですよね。さて、事業者は外国にあるクラウドサービスを利用することがありますが、その場合、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにする必要があります。しかし、実務上、サーバの所在国が特定できない場合があります。その場合も、①サーバが所在する国を特定できない旨及びその理由、及び②本人に参考となるべき情報を本人に知り得る状態におく必要があるのですが、実際にどのような対応例がありますか。

実際にプライバシーポリシーに書くわけではなく、問い合わせがあった場合に回答する準備をするということが多いとは思います。そのうえで、サーバ提供事業者に問い合わせたが回答がなく、他に手がかりもない場合なのか、それとも、サーバ提供事業者への問い合わせに対して回答はないが、ウェブページからサーバ所在国の候補場所は確認できる場合かで、対応は分かれ得ると思います。特に、前者の場合は、そもそも判断の手がかりがないことになってしまい、果たしてそのようなサービスを利用を続けて良いのか（代替サービスに乗り換えられないのか）が特に問題になってしまうかと思います。ここはSaaS等のサービス提供会社側も問題意識を持つ必要があります。この点の情報提供に誠実に対応してくれる事業者が選ばれやすくなり、ここに誠実に対応しない事業者は、他に代替可能なサービスがあれば敬遠されてしまう可能性があるでしょう。

本日は時間の関係もあって議論できませんが、2022年の電気通信事業法改正法に関して、「特定利用者情報の適正な取扱いに関するワーキンググループ」における議論が始まっています。一部の大規模な電気通信事業者が特定利用者情報の取扱いに関して公表しなければならない情報取扱方針（新電気通信事業法27条の8）において、外的環境の把握と似たような事項を公表事項とするかどうか等を含めて検討が進んでいるようですので、こちらも要注目ですね。

さて、そろそろお時間となります。越境移転と情報提供義務との関係では、外国の個人情報に関する法制度の把握が特に重要ですが、これらは各国の法改正により大きく影響されるところですので、令和２年改正法施行時に対応したから万全というわけではなく、定期的な調査等により更新していく必要がある点に留意いただきたいと思います。理論的な面も含めて、詳細はNBLの連載でも論じておりますので参考になればと思います。本日はありがとうございました。