個人情報に係る安全管理措置としての外的環境の把握

個人情報に係る安全管理措置としての外的環境の把握

 弊行は、外国に所在するクラウドサービス提供事業者のクラウドサービスまたはデータ所在地が外国であるクラウドサービスを利用するため、当該クラウドサービスを提供するクラウドサービス提供事業者が提供するサーバーに個人データを保管しています。

 弊行は、当該クラウドサービス提供事業者との間の契約で、当該クラウドサービス提供事業者が当該個人データを取り扱わないことを規定するとともに、当該クラウドサービス提供事業者に対して当該個人データへのアクセスを制御する適切な措置を講じることを求めています。当該クラウドサービス提供事業者の所在する国およびデータの所在国ならびに当該外国の個人情報保護に係る制度の概要は以下のとおりです。

①クラウドサービス提供事業者の所在する国・地域およびデータの所在国・地域の一覧

  • 米国(カリフォルニア州、ワシントン州、ジョージア州およびオレゴン州)
  • 欧州(国名は非公開ゆえに不明)
  • シンガポール
    ※データ所在地が非公開ゆえに不明な場合があり、これについては上記の国以外の地域・国にデータが所在している可能性があります。当社が、上記以外の地域・国におけるデータの所在を把握した場合には、速やかに公表を行うものとします。

②上記①の各国における個人情報保護に係る制度の概要

米国 連邦法

個人情報の保護に関する制度の有無
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
  • 電子通信プライバシー法(Electronic Communications Privacy Act of 1986)
    https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1285
    • -施行状況:1986年10月21日施行
    • -対象機関:個人データの電子的保存を行う公的部門(地方自治体を含む。)及び民間部門
    • -対象情報:「電子通信」(有線又は電子システムによって全部又は部分的に送信される、あらゆる性質の記号、信号、文章、画像、音声、データ、又は情報の伝達)
  • グラム・リーチ・ブライリー法(Gramm Leach Bliley Act)
    https://www.ftc.gov/tips-advice/business-center/privacy-and-security/grammleach-bliley-act
    • -施行状況:1999年11月12日施行
    • -対象機関:金融サービス業に「実質的に従事する(significantly engaged)」民間の金融機関
    • -対象情報:「非公開個人情報(Non-Public Personal Information)」(金融サービスの提供を通じて顧客から収集されるあらゆる情報)
  • 医療保険の携行性と責任に関する法律(Health Insurance Portability and Accounting Act)
    https://www.cdc.gov/phlp/publications/topic/hipaa.html
    • -施行状況:1996年8月21日施行
    • -対象機関:公的機関(地方自治体を含む。)及び民間機関
    • -対象情報:「保護されるべき健康情報(Protected Health Information)」(健康状態、医療の提供、医療費の支払いに関連する情報で、個人に結びつけることが可能なもの)
個人情報の保護に関する制度についての指標となりうる情報
EUの十分性認定:なし
APECのCBPRシステム:2012年7月25日参加
その他本人の権利利益に重大な影響を及ぼす可能性のある制度
  • 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    - なし
  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    -なし

弊行の利用するクラウドサービスの提供事業者の所在する国・地域およびデータの所在国・地域には、カリフォルニア州、ワシントン州およびジョージア州当社が含まれることから、上記の連邦法の規制に加えて、各州の個人情報の保護に関する法令・制度が適用される場合があります。

参考として、カリフォルニア州では次の制度が設けられています。

米国 カリフォルニア州法

個人情報の保護に関する制度の有無
包括的な法令として、以下の法令が存在する。
  • カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)(以下「CCPA」 という。)
    https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV &division=3.&title=1.81.5.&part=4.&chapter=&article=
    • -施行状況:2020 年1月1日施行
    • -対象機関:消費者の個人情報を収集又は処理する民間の営利企業のうち、①年間総収益が2,500万ドルを超える企業、②年間5万件以上の消費者、世帯又はデバイスの個人情報を購入、受領、販売、共有している企業、③年間収益の50%以上を消費者の個人情報の販売から得ている企業
    • -対象情報:特定の消費者又は世帯を識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報
個人情報の保護に関する制度についての指標となりうる情報
EUの十分性認定:なし
APECのCBPRシステム:アメリカ合衆国は2012年7月25日参加
OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利
  • 収集制限の原則  : 上記の法令に規定あり
  • データの内容の原則: 上記の法令に規定あり
  • データの内容の原則: 上記の法令に規定あり
  • データの内容の原則: 上記の法令に規定あり
  • 安全保護の原則  : 上記の法令に規定あり
  • 公開の原則    : 上記の法令に規定あり
  • 個人参加の原則  : 上記の法令に規定あり
  • 責任の原則    : なし
その他本人の権利利益に重大な影響を及ぼす可能性のある制度
  • 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    -なし
  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    -なし

【欧州】

個人情報の保護に関する制度の有無
包括的な法令として以下の法令が存在する。
  • 一般データ保護規則(General Data Protection Regulation)(以下「GDPR」といいます。)
    https://gdpr.eu/tag/gdpr/
    • -個人情報保護委員会により、GDPRの適用を前提に、次に掲げる国が個人の権利利益を保護する上で本邦と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として認められています。
    •  アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク

【シンガポール】

個人情報の保護に関する制度の有無
包括的な法令として、以下の法令が存在する。
  • 個人情報保護法(Personal Data Protection Act(No.26 of 2012))
    https://sso.agc.gov.sg/Act/PDPA2012
    • -施行状況:2013年1月2日施行
    • -対象機関:民間部門
    • -対象情報:真実であるか否かを問わず、当該データから、又は当該データとその組織等がアクセス可能なその他の情報とを合わせて、個人が識別可能なデータ
  • 公共セクター(ガバナンス)法(Public Sector (Governance) Act(No.5 of 2018))
    https://sso.agc.gov.sg/Acts-Supp/5-2018/Published/20180305?DocDate=201 80305
    • -施行状況:2018年4月1日施行
    • -対象機関:公的部門
    • -対象情報:事実、統計、指示、概念又はその他のデータであって、通信、分析又は処理が可能な形式(個人、コンピュータ又はその他の自動化された方法によるか否かを問わない)であるもの
個人情報の保護に関する制度についての指標となりうる情報
EUの十分性認定:なし
APECのCBPRシステム:2018年2月参加
その他本人の権利利益に重大な影響を及ぼす可能性のある制
  • 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    -なし
  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    • -刑事訴訟法(Criminal Procedure Code)
      • -一定の職位以上の警察官は、捜査、取調べ、裁判又は刑事訴訟法に基づく手続を執行するために必要と認める場合には、情報を提出し、又は当該情報へのアクセスを提供するよう求める「提出命令(written order)」を発出することができる。
      • -同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する独立した機関からの承認
        • 取得された情報の取扱いの制限・安全管理
        • アクセスの実施に関する透明性の確保
        • アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み

以上