TOP >
ビジネス記事 >
日本外国法事務弁護士（東京弁護士会）

中国の法律

日本外国法事務弁護士（東京弁護士会）

従業員個人情報越境の実務対応

『個人情報の域外移転に関する標準契約弁法』が23年2月24日に発行されました。
これをきっかけに、従業員個人情報越境の実務対応を検討します。

一、企業が直面するリスク

従業員個人情報の越境は多国籍の人事管理におけるコンプライアンスというジグソーパズルの最後の1ピースであり、その主なシチュエーションは、従業員又は求人応募者の個人情報を海外の本社と共有する（送信、アクセス）、海外の他の提携先・投資者・第三者・サービス提供者・監督管理機関が個人情報の取得を必要とする、及び多国籍管理のための必要によるものである。企業が直面するリスクは、以下のようなものがある。
（１）リンク先の安全面の潜在的危険により従業員個人情報が越境送信中に漏洩する。
（２）域外第三者機関やサービス提供者によるデータ保管が不適切だったことにより安全リスクが生じる。
（３）域外の人員やサービス提供者の人員が権限を越えてアクセスし、従業員個人情報が漏洩する。
（４）ハッカーが域外サーバーやデータベースに侵入し、企業データを窃取し、従業員個人情報を不法に抜き取ったり、改ざんしたりする。
（５）国家の安全、公共利益、個人又は組織の合法権益にリスクがもたらされる。

二、コンプライアンス視点の要点提示

上述のリスクの発生を回避するため、企業は域外移転する予定の従業員個人情報に対しデューデリジェンスを実施し、その状況を把握する必要がある。さらに、従業員個人情報の域外移転に関する次のコンプライアンス要点を厳格に遵守しなければならない。
まず、『個人情報保護法』第39条に規定される域外移転の「告知-同意」の義務を履行し、従業員からの個別同意を取得することである。告知内容には、域外受領者の名称又は氏名、連絡先の取扱目的、取扱方法、個人情報の種類及び保存期間、個人情報主体の権利行使の方式及び手順などの事項が含まれる。一方、個別の従業員から個別同意を取得できない場合の対応策として、『労働契約法』第4条に基づき、従業員個人情報の域外移転についての社内規則の作成を提案できる。
次に、個人情報保護影響評価を行う。企業は、個人情報を域外移転する前に、『個人情報保護法』第56条に基づき、且つ『個人情報域外移転標準契約弁法』、『情報安全技術個人情報安全規範』、『情報安全技術個人情報安全影響評価ガイドライン』、『データ域外移転安全評価ガイドライン（意見募集稿）』の標準を参照して、個人情報保護影響評価を行って評価報告とし、取扱状況を記録しなければならない（最低3年間の保存）。
最後に、『個人情報保護法』第38条に基づき、行政監督管理上の義務履行をするために、関連行政部門によるデータ域外移転安全評価、関連専門機関による個人情報保護認証、標準契約による行政届出の中から、域外移転の方式に適したいずれかを選択し、従業員個人情報の域外移転を実施する。

三、標準契約方式による域外移転

『個人情報の域外移転に関する標準契約弁法』の発行によって、個人情報の域外移転における行政実務がようやく本格的に動き出す。23年6月1日より施行され、施行日より６カ月以内の是正期間が設けられる。本稿執筆時点の実務から見ると、従業員個人情報の場合、標準契約方式による域外移転を提案できる。標準契約適用の重要ポイントについて、以下の通りに提示する。
（１）標準契約の内容の修正が認められない。当事者同士の間に、他の関連約定を行う際に、標準契約書の関連内容に違反してはならない。
（２）域外受領者の所在国又は地域の個人情報保護政策と法規が域外受領者による標準契約に定める義務の履行に影響を及ぼすことを発見していないことについて保証する必要がある。
（３）標準契約の有効期間中、重大な変化がある場合、再度届出の必要性。