TNY国際法律事務所グループ TNY国際法律事務所グループ

「COVID-19関連の規制状況及び入国規制並びに個人情報保護法関連の規制」 TNY Group Newsletter No.5

第1.各国の国内のCOVID-19関連の規制状況及び入国規制

1.日本

(1) 入国規制

8月28日、日本において新たな水際対策措置が決定されました。本件措置の主な点は以下の通りです。

  1. 入国拒否対象地域に新たに13か国が追加(日本国籍者は対象外)
  2. 検疫強化措置の地域の追加(日本国籍者も対象)
  3. 査証制限等の措置の延長

外務省感染症危険情報レベル2が発出されている全ての国・地域及びレベル3が発出されている国・地域の一部が、査証制限等の対象となります。

※査証制限措置対象国 (https://www.mofa.go.jp/mofaj/ca/fna/page4_005130.html

4外国との国際航空旅客便の減便等による到着旅客数の抑制要請の延長

5本邦入国の際の検疫の強化

過去14日以内に「出入国管理及び難民認定法に基づき上陸拒否を行う対象地域」に滞在歴のない方は、本邦入国の際、空港の検疫所において、質問票の記入や体温測定、症状の確認が求められ、自宅等への移動は公共交通機関を使用せずに移動できることが条件になっています。また、入国の翌日から14日間は、自宅待機が要請されます。上記対象地域の滞在歴のある方は、全員対象に抗原定量検査等が実施され、検査結果が陽性の場合は、医療機関への入院又は宿泊施設等での療養となります。当検査は、検疫法に基づき実施するものであり、検疫官の指示に従わない場合は、罰則の対象となる場合があります。

水際対策の抜本的強化に関するQ&A(厚生労働省)

https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/covid19_qa_kanrenkigyou_00001.html

日本における新型コロナウイルス感染症に関する新たな水際対策措置(8月28日)

https://www.anzen.mofa.go.jp/info/pcwideareaspecificinfo_2020C069.html

新型コロナウイルス感染症対策本部配布資料(第42回)

https://corona.go.jp/expert-meeting/pdf/sidai_r020828.pdf

新型コロナウイルス感染症に関する今後の取組(8月28日・新型コロナウイルス感染症対策本部)

https://corona.go.jp/expert-meeting/pdf/houkoku_r020828.pdf

(2) COVID-19関連の規制状況

東京や大阪、愛知などの都市部を中心に一部飲食店の営業時間の短縮を要請するほか、イベント開催制限、県外への移動の自粛を要請するなど、各自治体で独自の対応がとられています。

2.タイ

 タイのCOVID-19の累計感染者数は3,412名です。この内、3,252名が回復し、現在医療機関で治療中の者は102名となっています。帰国者を除いた、タイ国内での新規感染者は98日間連続で0人となっています。

  1. COVID-19関連の規制状況

 8月25日、タイ政府は8月31日までとしていた非常事態宣言を、9月30日までさらに1か月延長することを承認しています。

      2. 日本からタイへの特別航空便

 現在、日本からタイ入国のための特別便が準備されています。在東京タイ王国大使館のHPにおいて、随時情報が発表されています。

http://site.thaiembassy.jp/jp/news/announcement/

9月17日の特別便については、9月1日午前10時より予約受付開始となっています。9月24日の特別便については、現時点、受付開始日時の発表はなされていません。

この特別便により渡航を希望する者は、入国許可書(COE)をタイ王国大使館に申請する必要があります。

 全体の流れとしては、以下のとおりとなります。

      3. 航空券予約・ビザ申請予約、2COE申請、3ビザ申請、4COE取得・PCR検査・入国

出入国の際には、以下の書類を提示しなければなりません。

・ビザもしくは再入国許可証印のあるパスポート

・入国許可証(COE)

・記入、署名済みの申告書(Declaration Form)(原本)

・英文の搭乗可能健康証明書(Fit to Fly or Fit to Travel Health Certificate)(原本)

・渡航前72時間以内に発行された英文のRT-PCR検査による新型コロナウイルス非感染証明書(原本)

・新型コロナウイルス感染症及び関連疾患の治療費を含む10万米ドル以上もしくは1,100万円以上の治療補償額の英文医療保険証

 また、タイ入国時には、以下が求められます。

・T.8 formの記入(タイ空港公社(AOT)の携帯アプリにてオンライン登録可能)

・タイ当局に指定された医療従事者から医療検査を受け、隔離施設にて14日間以上の検疫隔離

3.マレーシア

(1) 回復のための活動制限令(Recovery Movement Control Order)

2020年8月28日、回復のための活動制限令(Recovery Movement Control Order)(以下「RMCO」)の有効期限を同年12月31日まで延長する旨が発表されました。執筆時点(同年8月28日)における禁止行為は以下のとおりですが、パブ及びナイトクラブでの活動を除く全ての経済セクターでの再開を許可する方針であるとの発表がされています。また、罰則の強化についても言及がされています。

(2) マスクの着用義務について

 8月1日から「混雑した公共の場所」及び「多くの人が入り混じった密閉空間」においてマスクの着用が義務化されており、マレーシア国家安全保障会議(NSC)によれば以下の場所が該当するものとされています。

4.ミャンマー

ミャンマー国内においては、経済活動はCOVID-19以前にほとんど戻っていますが、一定の集会禁止措置などは8月15日まで延長されています。

海外からの入国については、9月30日まで国際旅客機の着陸禁止やビザ発給停止が延長されています。また、唯一の直行便のANAも9月末まで運休する旨発表済みです。

茂木外務大臣が8月24日にミャンマーを訪問し、日本ミャンマー間の往来を再開することで合意しhております。9月の救援便(特別便)は3日及び10日が確定しており17日並びに26日も調整中です。

入国方法は以下の2つの方法が存在します。

ノーマルトラック:渡航前1週間の自宅隔離証明書の提示、搭乗前72時間以内のPCR検査陰性証明書の提示、ミャンマー入国後1週間の施設隔離、その後のPCR検査,さらに1週間の自宅隔離

ファストトラック(ビジネス関係者は申請可能):渡航前36時間以内のPCR検査陰性証明書の提示、ミャンマー入国後1週間の施設隔離及び2回のPCR検査(自費)

なお、1週間の施設隔離については,ミャンマー政府が指定するホテルへの隔離になります。ファストトラック適用は限定的であり、希望してもミャンマー政府の承認が下りない可能性もありますので、ノーマルトラックの準備も進める必要があります。

5.メキシコ

メキシコ国内のCOVID-19感染者の増加は鈍化の傾向を見せ始め、メキシコ政府のCOVID-19感染リスクを示す信号システムは8月17日の週にカンペチェ州が初の黄色の州として示され、その後、8月31日の週には、黄色の州が10州、橙が21州、赤が1州となることが発表されました。連邦政府における新たな規制は見られませんが、必要不可欠な産業に教育関連の製造業等が追加されるなど、経済活動の幅を広げる傾向がみられます。

メキシコへの入国については、政府による国境閉鎖や外国人の入国制限等は行われていませんが、3月21日より米国政府による米墨国境における不要不急の渡航制限が行われており、8月14日にメキシコ政府合意のもと9月21日までの延長が決定されました。なお、本制限は、空路や海路での移動については適用しないとされていますが、在メキシコ米国大使館の発表では、米墨間の航空便は数を減らして運行されていることから、渡航にあたっては十分な計画が必要とされています。なお、空路によるメキシコの出入国においては、体調や渡航履歴に関するアンケートの記入・提出や検温によるスクリーニングが実施されています。

6.バングラデシュ

 バングラデシュ政府が、8月3日付で発表した新型コロナウイルス感染拡大予防の措置が継続されており、主な内容は以下のとおりです。

(1) 午後10時から翌日午前5時までの時間帯は、真に必要な場合(必要不可欠な売買、職場との往来等)を除き外出禁止。外出の際は、マスクの着用や人と人との距離を保つ等の感染防止措置を講じなければならない。違反した場合には法的措置を受けなければならない。

(2) 商店とショッピングモールは午後8時までに閉店しなければならない。

(3) いかなる教育機関も開校することができない。

(4) いかなる集会、大規模行事も実施できない。バーチャル環境での行事開催を優先的に考慮しなければいけない。ただし、宗教省の指導に従い、感染防止措置を講じた上であれば、モスクなどで集団礼拝を行うことはできる。

 また、以下の対象国及び地域からの、バングラデシュへの定期国際便の乗入停止措置が継続されています。

(対象国及び地域)バーレーン,ブータン,香港,インド,クウェート,モルディブ,ネパール,オマーン,サウジアラビア,シンガポール,タイ

バングラデシュ入国の際,有効な査証を持つ外国人については,渡航前72時間以内に取得した新型コロナウイルス陰性であることが記載された英訳付きの診断書を提出する必要があります。

第2.各国の個人情報保護法関連規制

1.日本

日本で個人情報保護を規定する法律として、個人情報保護法があります。平成29年5月に施行された改正法により、それまで適用対象外となっていた中小企業・小規模事業者も含め、すべての事業者に個人情報保護法が適用されることとなりました。取り扱う個人情報の数に関わらず、例えば、紙やデータで名簿を管理されている事業者は全て「個人情報取扱事業者」となり、法の対象となりますので、注意が必要です。なお、個人情報保護法の下に、関連の政令や規則があり、個人情報の取り扱いについて詳細に規定されています。

(1) 個人情報の定義

個人情報とは、生存する個人に関する情報であって、1氏名や生年月日等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる者を含む。)、または、2個人識別符号が含まれるものをいいます(個人情報保護法第2条)。

(2) 民間事業者の個人情報の取り扱いについての基本ルール

1 個人情報の取得・利用

個人情報取扱事業者は、個人情報を取り扱うにあたって、利用目的をできる限り特定し(個人情報保護法第15条第1項)。その利用目的は、あらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があります(個人情報保護法第18条)。

2 個人データの安全管理措置

在宅勤務の増加に伴い、これまで以上に具体的な取り組みが求められる事項といえます。個人情報取扱事業者は、個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(個人情報保護法第20条)。個人データの取り扱いを委託する場合は、個人データの安全管理が図られるよう、委託先に対しても必要かつ適切な監督を行わなければなりません(個人情報保護法第22条)。「個人情報の保護に関する法律についてのガイドライン(個人情報保護委員会)」に、個人データの適正な取り扱いの確保について組織として取り組むために、基本方針や個人データの取り扱いについての規定の策定、組織体制の整備、従業員の教育、不正アクセスや漏えいの防止等の技術的な安全管理措置を講ずることが挙げられています。なお、同ガイドラインでは、従業員の数が100人以下の中小規模事業者に対して、事業を円滑に行われることに配慮し、特例的な対応方法が示されています。

3 個人データの第三者提供

 個人情報取扱事業者は、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません(個人情報保護法第23条第1項)。

4 個人データの外国にいる第三者への提供

外国にいる第三者への提供は、次のいずれかに該当する必要があります(個人情報保護法第24条)。(a) 外国にある第三者へ提供することについて、本人の同意を得ること、(b) 外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備していること、(c) 外国にある第三者が個人情報保護委員会が認めた国(本誌発行時点でEU加盟国および英国)に所在すること。(a)本人の同意について、上記第三者提供とは別に取得する必要があります。また、外国にいる第三者への提供の場合は、委託や共同利用等の場合も含まれます。そのため、委託の場合は契約内容に個人情報保護法の義務と同等の扱いを求める規定を置く、海外子会社・現地法人については、日本の本社と同等の扱いが担保することなどにより、個別の同意取得が難しい場合に(b)体制の整備を行う必要があります。なお、外国から日本へのデータの提供については、当該国の法令に従うことになりますが、二国間の協定等によって対応が異なることもありますので、ケースごとに確認が必要です。

5 保有個人データの開示請求

 個人情報取扱事業者は、本人から保有個人データの開示請求を受けたときは、本人に対し、原則として当該保有個人データを開示しなければならないとされています(個人情報保護法第28条)。

(3) 個人データの漏えい等への対応

 個人情報取扱事業者には「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年委員会告示第1号)に基づく措置が求められています。個人データの漏えい等の事案が発覚した場合に講ずるべき措置としては、1事業者内部における報告及び被害の拡大防止、2事実関係の調査及び原因の究明、3影響範囲の特定、4再発防止策の検討及び実施、5影響を受ける可能性のある本人への連絡等、⑥事実関係及び再発防止策の公表があげられており、また、内容によって、個人情報保護員会等への報告が求められます。

2.タイ

 タイでは、個人情報の保護を目的として、個人情報保護法(Personal Data Protection Act 以下、「PDPA」)が、2019年5月27日に官報で告示され、翌28日に施行されています。個人情報を取り扱う者の義務や、個人情報を提供した個人の権利などが定められています。

  1. PDPAの施行延期

 PDPAの実質的な個人情報保護についての条項は、告示日から1年間の移行期間が設けられ、2020年5月27日から施行される予定でした。しかし、タイ政府は、2020年5月19日の閣議において、新型コロナウイルスの影響による準備不足などを理由に、PDPAの施行を1年間延期(2021年5月31日まで)する法案を承認しました。そのため、個人情報を取り扱う会社などは、来年の施行日までに準備を行えばよいことになりましたが、対応すべき事項が多岐にわたるため、準備を速やかに行うことが望ましいと思われます。

(2) 個人情報とは

 PDPAによる保護の対象となる「個人情報」とは、直接的・間接的であるかを問わず、個人を識別することのできる情報をいい、故人に関する情報は含まれないと定義されています。したがって、直接的には個人を識別することができない情報であっても、そのような情報を複数収集することで個人を識別することができる情報であれば、「個人情報」に含まれることになります。

 現時点、細則の制定などは行われておらず、どのような情報が、具体的に「個人情報」に該当するかは明確ではありませんが、従業員や顧客の氏名、性別、生年月日、住所、電話番号、電子メールアドレスなどは、「個人情報」に該当すると考えられます。

(3) 個人情報管理者及び処理者

 個人情報管理者(以下、「管理者」)とは、個人情報の収集・利用・開示に関して、決定権を有する個人又は法人と定義されています。従業員や顧客の個人情報の収集などを行う会社は、管理者に該当することになります。

 また、管理者からの指示を受け、又は代理として個人情報の収集などを行う個人又は法人は、個人情報処理者(以下、「処理者」)と定義されています。

(4) 適用範囲

 PDPAは、タイ国内に所在している管理者又は処理者が、個人情報の収集などをする場合に適用されます。この場合、個人情報の収集などがタイ国内で行われるか、タイ国外で行われるかを問わず、PDPAが適用されることになります。

 さらに、管理者又は処理者がタイ国外に所在している場合でも、以下の場合に関して個人情報の収集などをする場合には、PDPAが適用されます。

 (a)タイ国内に所在する個人情報保有者に対して、製品やサービスの提供をする場合

 (b)タイ国内に所在する個人情報保有者の行動をモニタリングする場合

 したがって、タイ国内に会社が所在していない場合でも、インターネット販売サイトなどでタイ国内向けに製品を販売し、個人情報を収集する場合などには、PDPAが適用されるため注意が必要です。

(5) 個人情報取扱時のルール

 管理者による、個人情報の収集、利用、開示について、原則、個人情報保有者(以下、「本人」)の同意がない限り、行ってはならないとされています。そして、管理者は以下について対応する必要があります。

(a) プライバシー通知

 個人情報の収集の際には、事前または収集時に、本人に以下の事項を通知しておく必要があります。

 ・個人情報を収集する目的

 ・法令または契約の遵守のために本人による個人情報の提供が必要な場合、その通知

 ・収集対象となる個人情報およびその個人情報が保管される期間

 ・収集された個人情報の開示先に関する情報

 ・管理者の連絡先

 ・本人が有する権利

(b) 個人情報の管理

 収集した個人情報について取扱記録を作成し、更に以下の管理体制を構築する必要があります。

 ・個人情報の不正または違法な紛失、アクセス、利用、改ざん、訂正、開示を防止するための適切な安全対策の構築

 ・個人情報が管理者以外に提供される場合、個人情報の違法または無許可による利用、開示を防止する措置の実施

 ・保管期間が終了した場合、収集目的外の個人情報がある場合、本人からの請求や同意の撤回があった場合に、個人情報を消去・破棄するための管理体制の整備

(6) 具体的な対応

 会社としてはまず、1自社で保有する個人情報、または今後取得する予定の個人情報の内容を把握する必要があります。従業員の情報、一般消費者・取引先企業等の情報、ウェブサイトから取得する情報等が考えられます。

次に、2当該個人情報についてのプライバシー通知の作成、個人情報管理体制の構築を行う必要があります。

さらに、3個人情報の取得・利用・開示について、当該個人情報がPDPAの適用除外項目に該当するかを確認します。該当しない場合には、4本人から同意を取得する必要があります(同意を取得せずに個人情報の利用等を行うと、罰則が科されます)。

(7) 同意の取得

 本人に同意を求める際には、個人情報の収集、利用、開示の目的を本人に通知した上で、本人から明確な同意を取得する必要があります。

この場合、他のものと明確に区別できる方法で提示しなければならず、明瞭でわかりやすい言語を使用し、本人を欺いたり誤解させたりするような表現を用いてはならないとされています。この同意は、本人の自由な意思によるものであることが求められているため、細心の注意を払う必要があります。

会社が、従業員または一般消費者・取引先企業等から同意を取得する場合は、当該対象者に適したプライバシー通知を作成の上、そのプライバシー通知を含んだ同意書を作成し、当該対象者から明確な同意を得てサインを取得することが望ましいと思われます。

PDPAに関し、未だ細則の制定がなされておらず、細かな点は不明確な部分が多いですが、来年6月の施行に向け、会社として準備を進める必要があります。

3.マレーシア

(1)法規制

 基礎となる法律として、Personal Data Protection Act 2010 (以下「PDPA」といいます。)が存在し、下位法令及びガイドラインとして以下の規制が存在します。

 また、現在、個人情報漏洩の報告義務等の導入が検討されています。

(2)規制内容

1 概要

個人情報の処理者は、以下の原則(7原則)を遵守する必要があります。

(a) 一般原則(General Principle)(PDPA6条)

(b) 通知及び選択原則(Notice and Choice Principle)(PDPA7条)

(c) アクセス原則(Access Principle)(PDPA12条)

(d) 開示原則(Disclosure Principle)(PDPA8条)

(e) 安全原則(Security Principle)(PDPA9条)

(f) 保持原則(Retention Principle)(PDPA10条)

(g) 情報完全性原則(Data Integrity Principle)(PDPA11条)

2 7原則の要旨

(ア) 一般原則

情報使用者は、個人情報を処理する場合、原則として情報主体から同意を得なければなりません。同意は、情報使用者によって適切に記録及び保持できる形式であれば、いかなる形式でも良いとされています。

ただし、身体的又は精神的な健康状態、政治的意見、宗教的信条、犯罪歴等を含む「センシティブな個人情報(sensitive personal data)」を取得する際には、情報主体から「明示的」な同意を取得することが必要とされています。

(イ) 通知及び選択原則

情報使用者は、情報主体に対し、個人情報の処理について書面による通知をする必要があります。通知内容は以下のとおりです。

(ウ) アクセス原則

情報主体は、情報使用者が保有する自らの個人情報にアクセスする権利を有し、当該個人情報が不正確、不完全、誤解を招くもの、又はアップデートを要するものである場合には、訂正することができます。

(エ) 開示原則

情報使用者は、個人情報収集時に開示した目的又はそれに直接的に関係する目的以外の目的のために個人情報を第三者に開示する場合には、原則として情報主体から同意を得る必要があります。

(オ) 安全原則

情報使用者は、個人情報の紛失や不正使用などを防止するため、具体的な措置をとる必要があります。

(カ) 保持原則

個人情報は、目的達成のために不要となった場合には、破棄されなければなりません。

(キ) 情報完全性原則

情報使用者は、個人情報が正確で、完全で、誤解を招かないものであり、且つ最新のものであり続けるように、合理的な措置をとる必要があります。

3 第三者への開示

個人情報の第三者への開示・提供は以下の限度で許されます。

(a) 情報主体が事前に同意を与えている場合

(b) 犯罪の防止・捜査を目的とする場合又は調査を目的とする場合

(c) 法令又は裁判所の命令に基づく場合

(d) 情報使用者が自己に開示を行う権限があるか又は情報主体が事前に同意をしているとの合理的な考えに基づく場合

(e) 所管大臣が決定した公共の利益を目的とする場合

(3) 越境移転

原則として、個人情報保護委員会の推薦に基づき所管大臣が特定した場所を除き、個人情報の越境移転は許されません。2020年8月現在、所管大臣が特定した場所は公表されていません。

 但し、以下の場合は越境移転が可能です。

(a) 情報主体の同意がある場合(同意の要件は明確でない)

(b) 移転が情報主体と情報使用者との契約の履行に必要である場合

(c) 移転が、情報使用者と第三者の契約(但し特定状況下)の締結又は履行に必要な場合

(d) 情報使用者がPDPAに反した形での処理がなされないことを確保するために、必要な全ての合理的予防  

策を取り、かつ調査を行った場合 等

(4) 罰則

 各種の規制に対する違反に対する代表的な罰則として、以下のものがあります。

(a) 7原則に対する違反:

RM300,000以下の罰金又は2年以下の懲役又はそれらの併科

(b) Class of Date Userとしての登録義務に対する違反

RM500,000以下の罰金又は3年以下の懲役又はそれらの併科

(c) 個人情報の海外移転に関する規制に対する違反

RM300,000以下の罰金又は2年以下の懲役又はそれらの併科

4.ミャンマー

 ミャンマーにおいては個人情報保護を直接規定する法令は現時点では存在しません。一部関連する法令としては、2017年3月8日に成立した個人の自由安全保護法が、個人情報や家庭の事情に干渉し、個人の尊厳及び評判を中傷すること又は影響を与えること禁止する旨規定しています。

5.メキシコ

メキシコでは、個人情報保護に関連する法令はいくつかありますが、民間企業等に適用されうる根幹となる法令として、私的所有における個人情報の保護に関する連邦法(Ley Federal de Protección de Datos Personales en Posesión de los Particulares)が挙げられます。これらをもとに、メキシコにおける個人情報保護規定の概要を紹介します。

  1. 個人情報

本法では、個人情報は、「自然人を特定もしくは特定しうる情報」と定義され、そのうち、人種や民族、健康状態、遺伝情報、宗教的、哲学的もしくは道徳的信条、労働組合の所属、政治的見解、性的嗜好などが明らかになるような情報であって、本人の最も内密な領域に影響を与える情報、または不適切な使用によって、差別が生じ、もしくは深刻なリスクを伴う可能性がある情報は「要配慮個人情報」と定義されています。また、財産に関する情報もその性質から別の扱いとされています。

      2. 個人情報の取扱

個人情報の取扱いについては、非常に広範な定義となっており、「あらゆる手段による個人情報の取得、使用、開示、保存。『使用』は個人情報へのアクセスや個人情報の管理、利用、伝達、処分といったあらゆる行動を含む」とされています。個人情報の取扱いをする者には、その保護の観点から、以下の8つの原則に従う必要があります。

個人情報の取扱者は、以上のような原則を踏まえて、個人情報保護方針を策定し、適切な取り扱いが為されうる体制を確立する必要があります。

     3. 個人情報保護方針(Aviso de Privacidad)

個人情報保護方針は、少なくとも次の項目を含める必要があり、個人情報保有者が利用できるようにしておかなければなりません。

  1. 個人情報取扱者の名称及び住所
  2. 取扱の対象となる個人情報 (要配慮個人情報を取り扱う場合は、その明示を含む)
  3. 個人情報取扱の目的
  4. 個人情報保有者による個人情報取扱の拒否の意思表示方法
  5. 個人情報を第三者に開示する場合のその開示先や開示の目的
  6. 必要に応じて個人情報保有者による第三者開示の承諾に関する条項
  7. 個人情報保有者が有するアクセス、修正、キャンセルもしくは反対の権利を行使する手段
  8. 個人情報保有者が個人情報取扱への同意を取消す場合の、その方法
  9. 個人情報取扱者が個人情報保有者に対し使用や開示の制限を申出る方法
  10. 個人情報を自動的もしくは同時的に取得することを可能とする電子的、光学的もしくは他の通信技術の遠隔的もしくはローカルの手段に関する情報(該当する場合)
  11. 個人情報保護方針を変更する場合に、個人情報保有者に対してそれを通知する手順と手段
  12. 罰則等

次のような場合には、1~3の行政罰が用意されています。

  1. 警告

法に基づいた正当な理由なく、個人情報保有者のアクセス、修正、キャンセルもしくは反対の要請に従わなかった場合

       2.  UMA(2020年度の場合は、日額86.88ペソ、以下同じ)の100倍~160,000倍の罰金

       3. UMAの200倍~320,000倍の罰金

さらに、これらの違反が繰り返される場合は、UMAの100倍~320,000倍の罰金が追加で科される恐れがあり、また、要配慮個人情報の取得において違反がみられる場合は、最大で2倍の罰金が科される恐れがあります。なお、これらの行政罰が課された場合でも、民事的もしくは刑事的責任は免れるものではありません。

6.バングラデシュ

バングラデシュでは、個人情報保護を直接規定する法令は現時点では存在しません。一部関連する法令としては、2006年に成立した情報通信技術法の第63条で、機密事項及びプライバシー情報開示について、電子記録や電子文書の個人情報を、本人の同意なしに開示してはならない旨の規定と違反した場合の罰則が定められています。また、憲法の第43条で、文書や他の通信手段におけるプライバシーの保護が規定されています。

1.GDPR

(1)GDPRとは

EUでは、個人情報保護法分野において、「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。違反があった場合、2000万ユーロ又は年間総売り上げの4%の高い金額が制裁金として課される可能性がある一方(GDPR83条5項)、EU圏内に拠点を置く法人以外にも適用される可能性があり注意が必要です。今回はその適用範囲と域外移転を中心に解説いたします。

(2)適用範囲

 保護される個人データ(personal data)とは、「識別された自然人又は識別可能な自然人に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、または、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つまたは複数の要素を参照することによって、直接的または間接的に、識別されうる者をいう。」(GDPR4条)とされています。クッキー(Cookie)やIPアドレスなども該当すると考えられていますが、対象は自然人のみであり、法人は含まれません。

 GDPRでは、「管理者又は処理者」がEU域内に拠点を持っているかを地理的適用範囲とし、場合を分けて規定しています(GDPR3条)。

 まずEU域内に管理者又は処理者の拠点がある場合にはGDPRが適用されます。拠点がない場合には、(1)データ主体(個人データを提供する者)に対する物品またはサービスの提供の場合、(2)データ主体の行動の監視の場合には、GDPRが適用されることになります。1物品またはサービスの提供については、EUの言語や通貨を使って注文ができる、あるいは、EUの消費者・ユーザー向けの説明がある場合などが該当するとされております。また、(2)行動の監視について、ターゲティング広告を行うなどしているなど、データ主体の個人的な嗜好、行動および傾向を分析又は予測している場合が該当するとされています。

(3)取り扱いが適法になる場合

 上記のような個人データの取り扱いが適法となる場合は6通りありますが(GDPR6条1項)、原則として、データ主体が、同意を与えた場合に適法となります。GDPRにおける同意では、1 .自由に与えられた(任意性)、2.特定された(特定性)、3. 説明を受けた、4.不明瞭でない意思表示(明確性)という有効性の要件があり、手続的な追加的な条件も規定されており、個人情報保護法における「本人の同意」と比較すると厳格に要件が定められています。EU域外の事業者がEU域内のデータ主体から直接個人データを取得するにあたっても、このような同意等が必要となります。

(4)域外移転

 ア データ主体から直接取得するのではなく、EU域内の事業者(管理者)からEU域内にいるデータ主体の個人データをEU域外に移転させることを域外移転といいます。域外移転にあたっては厳格な規制があり、日本を含むEU域外の事業者がEU域内の事業者からEUにあるデータ主体の情報を取得しようとする場合、GDPRで定められた要件を満たす必要があります。その要件とは、1.十分性認定に基づく移転(GDPR45条)、2.適切な保護措置に従った移転(GDPR45条)、3.特定の状況における例外(GDPR49条)のいずれかです。3.例外については、データ主体の同意等とされています。

 イ 1十分性認定

   欧州委員会が十分なデータ保護の水準を確保している国・地域であると決定した場合は、手続きや許可なく、域外移転を認めることができます。2019年1月23日、日本も十分性認定を受けております。本ニュースレター発行時点で十分性認定を受けているのは、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、スイス、ウルグアイです。なお、米国については、十分性認定はされておらず、個別企業の登録ベースで十分な個人データ保護水準を担保する代替措置の「プライバシーシールド」を認める決定のもとに域外移転がなされてきましたが、2020年7月16日、EU司法裁判所はこの決定を無効とする判決が出されています。

 ウ 適切な保護措置、SCC(SDPC)・BCR

   上記の十分性認定を受けていない場合、域外移転にあたっては適切な保護措置の手続が必要となります。その際に使われるのが、SCC(Standard contractual clauses)やBCR(Binding corporate rules、拘束的企業準則)です。SCCは、EU圏内にある事業者と域外にある事業者との間で締結される域外移転の合意書のことであり、GDPR以前から規定されていた標準契約条項です。これについては欧州委員会からひな形が公表されています。現在ではSDPC(Standard data protection clauses)といいますが、ほぼ同じものとして用いられています。

 (5)企業としての対応

   GDPRの適用対象となる場合、必要な情報提供等のほか(GDPR13条)、データ保護オフィサーの設置、従業者の役割・責任の明確化、窓口の設置などの体制整備等が必要となります。日本の個人情報保護法では、個人情報の第三者提供に限り記録義務がありますが(個人情報保護法25条、26条)、GDPRでは取扱活動全般に記録義務がある(GDPR30条)などの違いもありますので、GDPRを意識した対応が必要となります。

また、域外移転を行う場合、日本国内の事業者へ行う場合には、日本は十分性認定を受けていますので、日本の個人情報保護委員会が公表している補完的ルールに従うことで足ります。他方、十分性認定を受けていない国へ域外移転を行う場合には、上記SCCなどの適切な保護措置を採る必要があります。

 

発行 TNY Group
 

【TNYグループおよびTNYグループ各社】

・TNY Group

 URL:https://tnygroup.biz/

・日本(弁護士法人プログレ・TNY国際法律事務所(東京及び大阪)、永田国際特許事務所)

 URL:https://tny-saga.com/

・タイ(TNY Legal Co.,Ltd.)

 URL:https://www.tny-legal.com/

・マレーシア(TNY Consulting (Malaysia) SDN.BHD.)

 URL:https://www.tny-malaysia.com/

・ミャンマー(TNY Legal (Myanmar) Co., Ltd.)

URL:https://tny-myanmar.com/

・メキシコ(TNY LEGAL MEXICO S.A. DE C.V.)

 URL:https://tny-mexico.com/

・イスラエル(TNY Consulting (Israel) Co.,Ltd.)

 URL:http://www.tny-israel.com/

・エストニア(TNY Legal Estonia OU)

URL:https://estonia.tny-legal.com/

・バングラデシュ(TNY Legal Bangladesh Ltd.)

 https://www.tny-bangladesh.com/

Newsletterの記載内容は2020年8月31日現在のものです。情報の正確性については細心の注意を払っておりますが、詳細については各オフィスにお問合せください。