この記事のポイント
海外グループ会社の従業員や顧客の個人情報を収集等するSaaSを導入・利用する場合、海外の個人情報保護法が適用される可能性がある
海外法対応においては、特に「域外適用」と「越境移転規制」の検討が重要
たとえばGDPRが適用される場合、日本企業には、本人同意の取得、個人情報の取扱いに関する技術上・組織上の安全管理措置、SaaSベンダーとの間における個人情報の取扱いに係る契約の締結などの義務が生じる
SaaS導入・運用の実務と法律上の注意点 第2回
SaaS利用時の海外個人情報保護法対応 – 域外適用、越境移転規制
グローバルに事業を展開する日本企業の人事施策や顧客管理等の場面において、さまざまなSaaSが国内外グループ会社全体で導入・利用されるようになっています。これに伴い、海外グループ会社従業員や、海外顧客の個人情報が収集、利用、提供されることとなりますので、日本のみならず海外の個人情報保護法令にも対応する必要が生じます。
それでは、グローバル規模でSaaSを利用するにあたり、どのような海外法令対応を行わなければならないのでしょうか。本稿では、海外法令が域外適用される場合に日本企業に課される義務や、海外事業者が運営するSaaSを利用する場合の越境移転規制などについて、GDPR(欧州一般データ保護規則)を例にとって具体的に解説します。
寺門 峻佑
TMI総合法律事務所 弁護士
杉浦 翔太
TMI総合法律事務所 弁護士
SaaS利用にあたり日本企業が検討すべきこと
日本法および海外個人情報保護法への対応
日本企業が海外グループ会社や海外顧客とのやりとりを円滑に進めるうえで、各種SaaSは欠くことのできないツールといえます。たとえば、グループ横断的な人事施策や顧客管理等の場面において、さまざまなSaaSが用いられるようになっています。これに伴い、海外グループ会社従業員や、海外顧客の個人情報が収集、利用、提供されることとなりますので、日本法のみならず海外の個人情報保護法への対応を行う必要が生じます。
個人情報保護法への対応の出発点は、自社およびグループ会社にいかなる法令が適用されるのかを検討することです。
日本企業に日本法が適用されたり、ドイツ現地法人にドイツ法が適用されたりすることは、自国(所在国)の法律に対応しなければならないという、いわば当然のことです。しかし、国内外の個人情報を取り扱うSaaSの導入・利用にあたっては、さらに一歩進んで、日本企業に欧州のGDPR(欧州一般データ保護規則、General Data Protection Regulation)が適用されないか、ドイツ現地法人にカリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法、California Consumer Privacy Act)が適用されないか、といった海外法令対応も考慮しなければなりません。
なぜ海外法令対応が必要なのか
なぜなら現在、世界の多くの個人情報保護法には、いわゆる「域外適用」という、当該法域に所在する法人以外にも、適用対象を拡張する規定が含まれていることが多いためです。また、海外事業者が運営するSaaSを利用する場合には、「越境移転規制」への対応も求められます。
個人情報保護法の一例
| 国・地域 | 略称 | 名称 | 域外適用 | 越境移転規制 |
|---|---|---|---|---|
| 日本 | 個人情報保護法 | 個人情報の保護に関する法律 | ◯ |
◯ |
| EU ※1 | GDPR(欧州一般データ保護規則) | General Data Protection Regulation | ◯ |
◯ |
| 米国カリフォルニア州 ※2 | CCPA(カリフォルニア州消費者プライバシー法) | California Consumer Privacy Act | ◯ |
✕ |
| 中国 | 中国個人情報保護法 | 中華人民共和国個人情報保護法 | ◯ |
◯ |
※1 EU加盟国および欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン
※2 米国では、現時点では連邦の包括的な個人情報保護規制はなく、州ごとに個人情報保護法が制定されつつある。特に注意が必要な州の包括的な個人情報保護規制として、CCPAがあげられる。
※2 米国では、現時点では連邦の包括的な個人情報保護規制はなく、州ごとに個人情報保護法が制定されつつある。特に注意が必要な州の包括的な個人情報保護規制として、CCPAがあげられる。
本稿では以下、GDPRを例にあげて海外個人情報保護法への対応について説明します。
もっとも、GDPRは数ある海外個人情報保護法の1つにすぎず、実際には日本企業が世界中に所在する海外グループ会社に対してSaaSを導入する場合には、米国カリフォルニア州のCCPAや中国の個人情報保護法をはじめ、各国・地域の個人情報保護法に対応しなければなりません。
特にCCPAは規制内容がGDPRとは大きく異なっているため、GDPRへの対応だけではカバーしきれない点があります。中国の個人情報保護法は、越境移転規制の厳しさが特徴的で、2024年3月に越境移転規制の一部緩和措置が発表されたものの、それでもなおGDPRとの規制内容の違いに注意しなければなりません。
GDPRと日本法における委託にかかる規制の差異
なお、日本の個人情報保護法上、委託先が個人データを取り扱わない場合には、個人データの「提供」には該当しない場合があります(下記の関連記事参照)。 このような「提供」の概念を限定的にとらえる見解は、海外個人情報保護法においては採用されていない場合が多く、日本の個人情報保護法において「提供」に当たらない場合でも、GDPRでは「提供(委託)」に当たることがあるため注意が必要です。
たとえば、日本の個人情報保護法において「提供」に当たらない典型的な場面は、クラウドストレージサービスにおいて保存のみを行う場合で、利用規約上、ベンダー側に個人データへのアクセス権限がなく、かつ、当該アクセスを遮断するための技術的措置も講じられている場合です。
一方、GDPRにおいては、個人情報を保存することそれ自体が「取扱い(Processing)」の定義に含まれていることから 1、保存のために個人情報を委託する行為は、提供(委託)と整理されます。
定期モニタリング
また、SaaS導入時に法令遵守対応を行ったとしても、時間が経過すれば法規制も変わってしまうため、定期的な法令モニタリングを行うことも重要です。SaaS導入にあたって検討した対象法令の内容が変更されていないかどうかを、少なくとも年に一度、できれば半年に一度程度の頻度で確認し、法改正があった場合には速やかに対応することが大切です。
個人情報保護法の「域外適用」とは
域外適用とは、当該法域に所在する法人以外にも、適用対象を拡張する規定のことをいいます。
GDPRにおける域外適用の範囲
GDPRを例にとって域外適用の範囲を見てみると、個人情報の取扱いが、以下の①または②と関連する場合、EU域内に拠点のない事業者に対しても、GDPRが適用されると規定されています(GDPR3条2項)。
- データ主体の支払いを要するか否かに関わりなく、EU域内のデータ主体に対して商品またはサービスを提供すること
- データ主体の行動がEU域内で行われる場合であって、当該行動を監視(モニタリング)すること
日本企業にGDPRが適用される場合
域外適用の例
たとえば日本企業が、EU域内の現地法人を含むグループ会社各社に対して、EDR(Endpoint Detection and Response)、すなわちPC端末等のエンドポイントにおける異常な操作や動作を監視しセキュリティ上の脅威を検知するツールを導入した場合、EU域内の従業員の業務PC上の挙動をモニタリングすることとなるため、上記②の要件に該当し、親会社である日本企業にGDPRが適用される可能性があります。
域内適用の例
また、GDPR3条2項に基づく域外適用だけではなく、GDPR3条1項に基づく適用にも注意が必要です。GDPR3条1項は、いわば「域内適用」を規定するための条文ですが、実は同項に基づいて日本企業に対してGDPRが適用される場合もあるのです。
GDPR3条1項は「EU域内で行われるものであるか否かを問わず、EU域内における事業者(データコントローラーまたはデータプロセッサー)の拠点の活動の過程における個人情報の取扱い活動」に対してGDPRが適用されることを規定しています。
ここでポイントは、「事業者の拠点(establishment)」 2 がEU域内にある場合、その「活動の過程における個人情報の取扱い活動」全般に対してGDPRが適用されると定められている点です。このため、たとえば、欧州現地子会社を有する場合には、それが親会社である日本企業の「拠点」と解される場面が容易に生じ得、そして、日本企業の「拠点」たるドイツ現地法人の活動の過程において、日本企業が個人情報を取り扱う場合には、(ドイツ現地法人のみならず日本企業にも)GDPRが適用される、と解釈されることとなります。
したがって、欧州現地法人を含めてグローバルにSaaSを導入する場合などにおいては、親会社である日本企業にもGDPRが適用される場合があることに注意が必要です。
GDPRが適用される場合の義務
SaaSユーザー企業に課される義務の概要
ここまで述べてきたように、SaaSを利用することで日本企業に対してGDPRが適用されることがあり、このことにより、多くの法的義務が当該日本企業に課されます。代表的な義務としては、以下があげられます。
SaaSベンダーとユーザー間の契約実務のポイント
特にSaaSとの関係においては、個人情報の取扱いの委託先、すなわち当該SaaSのベンダーとの間における個人情報の取扱いに係る契約を締結する義務がポイントです。この契約は実務上、Data Processing AgreementまたはData Processing Addendum、略称として「DPA」と呼ばれています。
GDPRは、委託先との間で締結する契約について、委託先に課さなければならない義務内容を具体的に規定しているため、当該義務内容を含む契約をSaaSベンダーと締結しなければなりません。
もっとも、実務上は、SaaSベンダー側において利用規約が用意されており、当該利用規約の中にすでにGDPRに対応したDPAが含まれていることが多く、ユーザー企業目線では、SaaS利用の都度DPAを作成して交渉することはほとんどありません。むしろ、ベンダーはユーザーからのDPAの修正要望を認めない傾向にあり、ユーザーとしては、ベンダーが用意するDPAの内容に従って契約締結しなければならないことも多いところです(もちろん、ベンダーによっては、覚書等によりDPAの一部修正に応諾してもらえる場合もあります)。
他方で、特にグローバルに事業展開を行っていないSaaSベンダーにおいては、利用規約内にDPAが含まれていない場合があります。このような場合には、GDPRに対応するDPAを別途締結しなければ、ユーザー企業側においてGDPR違反となってしまうため、DPAの有無およびその内容がGDPRに則した契約条項となっていることの確認は必須となります。
個人情報保護法の「越境移転規制」とは
海外の事業者によって運営されているSaaSを利用する場合、これによって個人情報が海外に提供されることとなります。この場合には、上述の規制に加えて、越境移転規制への対応も必要となります。
越境移転規制とは、個人情報を当該法域外に移転する場合に課される規制のことをいいます。必ずしも外国のデータサーバーに個人情報を保存する場合を指すわけではなく、国内のデータサーバーに保存する場合であっても、当該個人情報に対して外国の第三者がアクセスできる場合も、越境移転規制の対象となることに注意が必要です。
GDPRにおける越境移転規制の概要
越境移転規制の有無やその内容は適用される個人情報保護法によって異なりますが、GDPRの場合における代表的な対応としては、以下があげられます。
対応①:十分性認定のある国に対して移転する
対応②:本人同意を得る
対応③:標準契約条項(SCC:Standard contractual clauses)を締結する
十分性認定とは
まず、対応①の十分性認定とは、欧州委員会が、当該国における個人情報保護法制が十分な水準にあると認定した国に対する越境移転について、越境移転規制の例外を認める制度です。
日本は2019年1月に十分性認定を得ました。そのため、「日本企業には十分性認定があるから、GDPRの越境移転規制は気にしなくてよい」と誤解されてしまうことがあります。このような考えには以下の2つの点から注意する必要があります。
1点目は、日本の十分性認定は条件付きである点です。
十分性認定と同時に、日本の個人情報保護委員会は、欧州から十分性認定に基づき移転した個人データに対しては、いわゆる「補完的ルール」に基づいて取り扱わなければならないと定めています 9。これは、日本の個人情報保護法とGDPRとの間のギャップを埋めるために、個人情報保護委員会が追加的に示した保護水準であり、日本企業は十分性認定に基づいて個人データを受領した場合、当該補完的ルールに基づいて個人データを取扱わなければなりません。
この点を見落として、補完的ルールに対応するための体制がないままに、十分性認定に依拠して個人データを受領してしまっている場合があるので注意が必要です。
2点目は、SaaSを利用する場合、越境移転先が日本だけに限定されるとは限らない点です。十分性認定に依拠することができるのは、あくまでも日本を含む十分性認定国のみです。
本人同意とは
次に対応②の本人同意とは、データ主体から個人情報の越境移転について、あらかじめ同意を得ておくことを指します。
本人同意の具体的な方法としては、プライバシーポリシーにおいて、個人情報が越境移転される旨を記載しておき、当該プライバシーポリシーの内容に対して同意を得ることが一般的です。
標準契約条項(SCC)とは
最後に対応③の標準契約条項(SCC)とは、欧州委員会が定めた越境移転を行うための契約ひな形 10 です。
標準契約には、移転元(data exporter)および移転先(data importer)がそれぞれ、データコントローラーに当たる場合とデータプロセッサーに当たる場合とで、合計4つのモジュールが組み込まれています。SCC本体の条項は原則としてひな形どおりに締結することが求められており、一部の選択条項を除き契約主体が契約条件を変更することはできません。ただし、別紙部分については越境移転する個人情報の内容や、移転先における安全管理措置を実態に則して記載する必要があります。
もっとも、上述の委託におけるDPAと同様に、実際にはSaaSベンダー側において、利用規約にSCCも組み込まれている場合が多いため、ユーザーとしてはベンダーが提示する契約内容どおりに締結しなければならないことも多いのが実情です。
日本企業にGDPRが適用される場合
たとえば、グループ企業の従業員全体を対象とした人事施策を実施する場合、世界各国に所在する各拠点の従業員情報が、拠点間で閲覧できる状況となる場合があります。すると、欧州現地法人の従業員の個人情報が、日本の人事部のみでなく、同一グループの北米拠点や東南アジア拠点の人事部等、日本や欧州以外からもアクセスできるようになることが考えられます。この場合、たとえば北米拠点のあるアメリカ、東南アジア拠点のあるシンガポールとの関係では、いずれも欧州委員会の十分性認定を得ていませんので、十分性認定に依拠して越境移転を行うことはできないこととなります。
したがって、欧州現地法人との間でSCCを結ぶ等、その他の方法により越境移転規制に対応する必要が生じます。
- GDPR4条(2) ↩︎
- 「拠点」という概念は、GDPR前文において「安定的な仕組みを通じて行われる実効的かつ現実の活動の実施」と定義されています。それが支店または法人格を有する子会社であるか否かは決定的要素ではないとも規定されています(GDPR前文22)。↩︎
- GDPR6条 ↩︎
- GDPR13条、14条 ↩︎
- GDPR30条 ↩︎
- GDPR32条1項 ↩︎
- GDPR28条3項 ↩︎
- GDPR33条 ↩︎
- 個人情報保護委員会「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(平成31年1月、令和5年12月一部改正) ↩︎
- 原文はこちらをご参照ください。↩︎
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
SaaS導入・運用の実務と法律上の注意点
バックナンバー(全5件)
-
第5回
SaaS利用時の情報漏えいリスクと営業秘密管理のポイント -
第4回
外部送信規律とは?SaaS導入の際に注意すべきクッキー規制 -
第3回
クラウドサービス導入時のセキュリティ審査のポイント – 責任共有モデルと、参考とすべきセキュリティ認証・ガイドライン -
第2回
SaaS利用時の海外個人情報保護法対応 – 域外適用、越境移転規制 -
第1回
SaaS導入・利用時の個人情報保護法上の注意点 – 委託、外国第三者提供、安全管理措置
寺門 峻佑
TMI総合法律事務所 弁護士
日本国・ニューヨーク州弁護士、TMIプライバシー&セキュリティコンサルティング株式会社取締役、情報処理安全確保支援士(第011789号)、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザー等を歴任。国内および海外のデータ利活用における個人情報保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ/AI開発・ライセンスを中心としたIT法務、IT関連を中心とした不正調査・国内外紛争案件を主に取り扱う。米国Wikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。
杉浦 翔太
TMI総合法律事務所 弁護士
日本国・ニューヨーク州弁護士。データ(保護法制、取引)、個人情報、営業秘密、情報・通信・メディア・IT、コーポレートガバナンスに関する案件を主に取り扱う。『データ利活用のビジネスと法務』(共著)(中央経済社、2024)、『サイバーセキュリティ対応の企業実務』(共著)(中央経済社、2023)などの著作のほか、海外個人情報保護法に関するセミナーも多数担当。
最新情報をフォローする
