2021年の個人情報保護はこう変わる セキュリティ対応のポイントを弁護士が解説

個人情報の保護を単なるコンプライアンス対策ではなく、ビジネスリスクの低減と企業競争力の強化を図る機会として対応サイクルを回すには、国内外の最新動向を知る必要がある。同分野で著名な弁護士が語る「2021年の対応のポイント」とは。

[BUSINESS LAWYERS]

日本、欧州、米国、タイ、ブラジル……2021年の個人情報保護はどう変わる？　対応のポイントとは

本記事は2021年2月9日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。

サマリー

1. 2021年以降予定されている主要な個人情報・セキュリティ関連トピック
   1. 国内のトピック
   2. 海外のトピック
2. 2021年におけるルールの制定・改正に向けた日本企業の対応
   1. 改正個人情報保護法への対応
   2. 欧州司法裁判所のSchrems II 判決への対応とSCCの巻き直し
   3. 各国拠点における新たな個人情報保護法制への対応
3. 2021年におけるルールの制定・改正に向けた対応以外の日本企業の対応
   1. サイバー攻撃による個人情報の漏えいなどへの対応
   2. GDPR対応の見直し
   3. 各国拠点における各国個人情報保護法への対応の確立
4. 終わりに

　2021年は、昨年成立・公布に至った改正個人情報保護法について施行令・施行規則・ガイドライン・Q&Aの公表が予定されており、企業は実務の見直しや対応に迫られることが想定されます。

　また海外に目を向けると、引き続き各国で個人情報保護を強化する法令の導入・改定や実務のアップデートの動きがあるなど、自社のビジネスと関わる国・地域における個人情報保護に関する動きも注視する必要があります。

　本稿では、2021年に押さえておくべき個人情報・セキュリティ関連の主要トピックについて、西村あさひ法律事務所の石川智也弁護士が解説します。

2021年以降予定されている主要な個人情報・セキュリティ関連トピック

　まず、2021年以降予定されている主要な個人情報・セキュリティ関連トピックを、以下のとおり列挙します。

日本国内のトピック

予定時期	トピック
2021年2〜4月	改正個人情報保護法施行令・施行規則の公表
夏ごろ	改正個人情報保護法の下でのガイドライン・Q&Aの公表
2022年4月ごろ	改正個人情報保護法の施行

注記：この他、国の行政機関・地方公共団体など・独立行政法人・民間で分かれている個人情報保護に関する法律を一元化する法案が2021年に国会に提出予定

海外のトピック

予定時期	トピック
6月1日	タイ個人情報保護法（PDPA）の施行
6月30日（※2カ月延長された場合）	EU→英国の個人データの移転を認める猶予期間が終了
8月1日	ブラジル個人情報保護法（LGPD）の執行開始
2021年上半期？	GDPRの下での改定版SCC（標準契約条項）の発効
2023年1月1日	カリフォルニア州プライバシー権法（CPRA）施行

国内のトピック

　2021年は、2022年の4月ごろに施行予定の改正個人情報保護法への対応が、多くの企業にとって最重要のトピックになると見込まれます。今後のスケジュールとしては、2021年1月25日までパブリックコメントに付されていた施行令・施行規則が春ごろに公表され、その後、夏ごろにガイドライン・Q&Aが公表される予定です。

出典：個人情報保護委員会「令和2年 改正個人情報保護法について」

海外のトピック

　日本企業の関心が高いトピックとしては、新型コロナウイルス感染症（COVID-19）への対応などを理由に実質的に約1年施行が延期されていたタイの個人情報保護法（PDPA）が6月1日に施行される予定です。また、昨年夏に施行済みのブラジル個人情報保護法（LGPD）について、8月1日より当局の執行が開始される予定であることにも注目すべきでしょう。

　GDPR関連では、時期は確定していませんが、2020年11月12日に公表され、同年12月10日までパブリックコメントに付されていたGDPRの下での改定版標準契約条項（Standard Contractual Clause。以下「SCC」という）が2021年中に発効する可能性が高いといえます。SCCとは、GDPRの下で個人データを適法に欧州経済領域（EEA）外に移転するための手段の1つで、欧州委員会が決定する契約書のひな型を指し※1、多くの日本企業が利用しています。

　現在の改定案によれば、改定版SCCの発効によって既存のSCCは以後利用できなくなり、締結済みのSCCも1年の猶予期間の後に効力を失う予定であるため、実務への影響は甚大です。また、英国がEUから離脱するとともに、昨年末をもってその移行期間が満了したことに伴い、EUから英国への個人データの移転は、十分性認定を受けていないEU域外の第三国への移転としてSCCの締結などの越境移転規制への対応が必要となるところでしたが、昨年末に土壇場で4カ月（さらに2カ月延長の余地あり）の猶予期間が認められました。もっとも、この猶予期間が満了するまでに英国が欧州委員会から十分性認定を受けられなければ、7月1日以降はEUから英国への個人データの移転につきSCCの締結などが必要になる可能性が高いため注意が必要です。

　米国では、2020年11月3日にCCPAを大幅に改正して規制強化する態様にてカリフォルニア州プライバシー権法（California Privacy Rights Act（CPRA））が可決されており、このCPRAは2023年1月1日より施行される予定です。CPRAへの対応としては、まずは自社グループのなかに適用スコープに含まれる企業があるか、あるとしてどのような対応事項があるか、影響の程度を評価することが重要であると考えられます。また、連邦レベルでの個人情報保護法制に向けた動きもあり、米国法の動向からは今年も目を離すことができません。

2021年におけるルールの制定・改正に向けた日本企業の対応

改正個人情報保護法への対応

事業内容によっても影響は異なり得ますが、個人情報保護法の改正について、一般的に企業への影響が大きいと思われる項目をあげると以下のとおりです。

1. 個人データの漏えい等の報告・通知の義務化（現在は努力義務）（改正法22条の2）
2. 権利行使事由の拡大（改正法30条）・保有個人データの範囲の拡大（改正法2条7項）
3. 越境移転規制の強化（改正法24条）
4. 個人関連情報の概念の創設（改正法26条の2）
5. 仮名加工情報の概念の創設（改正法2条9項、35条の2、35条の3）

　これらを含め、改正個人情報保護法への対応については、企業としては、すでに公表されている施行令・施行規則案を踏まえて、本格的に自社グループへの影響範囲の評価を開始すべきです。また、ガイドラインやQ&Aが確定する本年夏以降に必要なドキュメントの整備（社内規則・プライバシーポリシーの修正、委託先との契約の見直し、外国にある第三者との間の契約類の見直しなど）や態勢整備（個人データの漏えいなどへの対応、権利行使に備えた対応）を行う必要があります※2。

　ただし、権利行使事由の拡大と個人関連情報の概念の創設については、既存のシステムの改修や個人に関する情報の取得・利用の仕組みそのものの変更などが必要となる事案もあり、早期の対応が必要になり得ることに留意が必要です。

欧州司法裁判所のSchrems II 判決への対応とSCCの巻き直し

　欧州司法裁判所は、2020年7月16日に、EUから米国に個人データを移転するための枠組みの1つであるプライバシーシールドを無効と判断しました。加えて、SCCに基づいて、十分性認定を受けていない国へ個人データを移転する場合であって、かつ、SCCの締結だけでは、移転先においてEUと実質的に同等の個人データの保護水準を保証できない場合には、補完的措置（supplementary measures）を講じて対応する必要があると判断しています（いわゆるSchrems II 判決）。

　この判示を受けて、欧州データ保護評議会（EDPB）は2020年11月10日にレコメンデーション案を公表し、上記判決への対応手順と補完的措置の具体的内容を公表しました。

　実際、EEA域内の企業においては、十分性認定を受けていない国への個人データの移転に慎重になる動きが広がっており、上記の対応手順に従ってEEA域外への個人データの移転状況を洗い出すとともに、必要とされる補完的措置を検討する動きが広がっています。日本企業においても、EEA域内の子会社から、EEA域外への個人データの移転について懸念を示される例も出始めており、2021年は急ピッチでこの点への対応が必要になることが見込まれます。

　また、前述のとおり、現在SCCの改定が進められており、改定版SCCが発効すると、既存のSCCは以後利用できなくなります。また、締結済みのSCCも1年の猶予期間の後に効力を失う予定であるため、2021年は、上記の対応とあわせて、多くの日本企業において、SCCの巻き直しに向けた作業を行う年になることが見込まれます。改定版のSCCは、大要、個人データの移転先がGDPRが適用される場合と同水準の義務を負うように設計されており、締結にあたってはその内容を遵守できるかの検討が不可欠となります。

　さらに、英国については、前述のとおり、4カ月（さらに2カ月延長の余地あり）の猶予期間が満了するまでに欧州委員会から十分性認定を受けられなければ、7月1日以降EUから英国への個人データの移転に際してSCCの締結などが必要になります。英国が本年上半期中にEUから十分性認定を受けられるかは依然として不透明であり、実務としては、EUから英国への個人データの移転につきSCCの締結などの対応を行うことが推奨されています。

各国拠点における新たな個人情報保護法制への対応

　2021年も各国の新たな個人情報保護法制への対応が必要となることが見込まれます。多くの日本企業が影響を受ける法域としては、前記１で紹介した米国、タイ、ブラジルがあげられますが、その他の国においても、自社のグループの拠点が展開している法域において立法の動きがないか継続的にウオッチする必要があります。

　基本的には、自社グループの拠点がある国・地域で個人情報保護法が成立し、または改正された場合には、当該拠点についてその法制への対応を行うことになるでしょう。他方で、その国・地域の個人情報保護法制が日本企業に域外適用されることを前提に日本側でも対応するかについては、域外適用のスコープの検討と、実際の執行リスクを踏まえて判断していくことになります。海外企業の執行リスク（当局による制裁金や、個人による訴訟提起）のある法律としては、EUのGDPR、カリフォルニア州のCCPA、ブラジルのLGPDのほか、韓国とトルコの個人情報保護法について注意喚起を行うことが多くなっています。特に韓国は隣国であり、インバウンドの文脈で扱う個人情報の量が多くなりがちであることに注意が必要です。

2021年におけるルールの制定・改正に向けた対応以外の日本企業の対応

サイバー攻撃による個人情報の漏えいなどへの対応

　近時、サイバー攻撃によって個人情報が漏えいなどするケースが後を絶ちません。

　漏えいなどのリスクをゼロにすることは不可能です。企業が目指すべきは、リスクを低減し、受容できる内容にした上で受け入れることでしょう。そのための方策としては、以下があげられます。

1. 漏えいなどが生じる可能性を低減する
2. 漏えいなどが生じた場合の悪影響を低減する
3. 悪影響により生じた損害の塡補（てんぽ）を図ることで影響を低減する

　1は主に組織的・技術的なセキュリティの強化、2は主に法的な観点からの漏えい時の態勢整備、3は主にサイバー保険によるカバーが考えられます。

　特に近時は、サイバー攻撃の影響範囲が各国のグループ各社に及んで、グローバルでの対応が求められることが多く、各国のデータ保護法の下での漏えいなどの対応について態勢整備を行うことが重要です。実際、日・欧・米の3極での対応が必要となり、当職が所属している法律事務所の、東京・ドイツ（フランクフルト＆デュッセルドルフ）・米国（ニューヨーク）の3拠点で対応するケースも少なくありません。例えば、GDPRとの関係では、そもそもGDPRの適用スコープ内なのか、適用スコープ内であるとして、いつまでに、どこの国のデータ保護当局に通知すべきか、制裁金の実務はどのようなものなのかが問題となりがちです。また、米国法との関係では、eディスカバリー（電子証拠開示制度）への対応一般について、文書の保管やメールの保存などのルールの整備・運用に関して十分な対応措置が講じられているか今一度確認しておくべきです。さらに、秘匿特権との関係で、セキュリティ態勢の構築に向けた検討状況や、セキュリティ態勢の監査結果に関する社内文書につき、平時においても弁護士の指揮の下でこれらの検討・監査を行うことが重要です※3。

GDPR対応の見直し

　GDPRは施行から約3年が経過して新たなガイドライン・実務が集積しており、現在のGDPR対応の実務は、2018年5月の施行当初と大きく異なっています。また、公表されているものだけでも当局による制裁金事案が500件以上出ている※4上に、B2Bビジネスにおける従業員情報の取り扱いや、権利行使対応の不適切さに起因した事案も多いため、現地日系企業におけるGDPR対応の完了を急ぐ必要があります。

　例えば、GDPR対応時に従業員から同意書を集めた例、データ処理契約（Data Processing Agreement。DPA）に技術的・組織的措置の内容が書かれていない例、拠点の監視カメラの運用についてデータ保護影響評価（DPIA）を行っていない例、現地企業のウェブサイトにおいて適切なクッキー同意ツールが設置されていない例などは、現時点ではいずれもGDPRへの対応が不十分であり、かつ、現実に制裁金が科され得る事案です。

　日本の親会社としては、これらの状況を踏まえ、現地日系企業におけるGDPR対応の実施状況について監査を行い、必要に応じてその対応を支援すべき時期にあるといえるでしょう。

各国拠点における各国個人情報保護法への対応の確立

　各国拠点における各国個人情報保護法への対応の必要性は、GDPR施行直後の2018年夏くらいから、多くの日本企業が課題として認識してきました。ここにきて、確立した対応方針に従って対応できている企業と、そうではない企業とが分かれてきた印象があります。

　各国拠点における各国個人情報保護法への対応の手順としては、基本的には以下のように進めることが考えられます。

1. グループで共通の個人情報の取り扱いの原則を整備する
2. 各国拠点に適用される各国法令への対応について必要な態勢整備を行い、必要な文書を作成するとともに、それらを周知する
3. 各国拠点において取り扱う個人情報の変更や法令の変更に対応できる仕組みを作る（組織・人を置く）

　各国拠点共通のプライバシーポリシーや社内規程といった書式の整備が目指されるケースもありますが、基本的には各国法の内容が異なるため、このアプローチは困難も多いです（各国拠点の労働法対応について、本社にて共通の書式を整備することはほとんどないと思われますが、それと同様です）。

　実際に支援してきた実例を見ていると、1で抽出すべき原則は、その企業グループが適用を受ける代表的な法制を見て検討しています。1のコツとしては、開示文書（プライバシーポリシー）にどのような内容を記載するか、どのような態勢整備が必要であるかといった法制ごとに差異のある項目ではなく、より根源的なルールを抽出した上で、その原則に従うために各国拠点にて自国の法制を確認して、対応することにつながる内容とするのが良いでしょう。グループに適用する原則を整備することで、それによって各国拠点での各国法への対応を促進できるほか、その原則に従って各国法の対応状況を監査することもでき、社内で個人情報保護のための態勢整備のサイクルを回すことができるようになります。

終わりに

　最後に述べた各国個人情報保護法への対応は、本来単なるコンプライアンス対応ではなく、対応によって漏えいなどのプライバシーのリスクを低減できるとともに、企業の競争力を強化することにもつながり、メリットを享受できるはずのものです。苦労して多額の費用をかけてデータマッピングを行い、書式を用意したものの、その後に見直されることもなければ、対応によって何か恩恵があったわけでもない、というのはもったいないことですし、そうならないように態勢整備のサイクルを回せるようにすることが重要です。

　2021年は、多くの日本企業において、各国個人情報保護法への対応方法が確立される年になることを期待するとともに、そうなるように伴走していきたいと思います。

本記事は2021年2月9日のBUSINESS LAWYERS「【連載】展望 2021年の企業法務　第4回 改正個人情報保護法に基づく体制整備や、各国拠点での法制対応等が重要に　石川智也弁護士が注目する2021年の個人情報・セキュリティ関連分野のポイント」をキーマンズネット編集部が一部編集の上、転載したものです。

編集部注

※1：欧州委、プライバシー・シールド無効判決受け、GDPRの標準契約条項の改定案発表（JETRO｜2020年11月17日）

※2：改正法対応のための実務上のチェックポイントは、岩瀬ひとみ/河合優子/津田麻紀子 編著・西村あさひ法律事務所データ保護プラクティスグループ 著『2020年個人情報保護法改正と実務対応』（商事法務、2020年）188頁以下参照

※3：この論点については、石川智也/津田麻紀子「個人情報保護体制グローバル化の設計図 第6回 個人情報の漏えい等への対応」Business Law Journal 2020年12月号（No.153）（レクシスネクシス・ジャパン、2020年）80頁以下が詳しい

※4：制裁金事案のまとめについてはGDPR Enforcement Trackerが詳しい