PR

 委員会による個人情報保護指針の公表(同3項、新設)も盛り込まれた。委員会は、個人情報保護指針の届出があったときは、委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。認定個人情報保護団体による対象事業者に対する指導等(同4項、努力義務から義務へ変更)。

 認定個人情報保護団体は、委員会により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。努力義務から義務に改正された。指導等が適切でなければ改善命令(57条)の対象となる。

国際的なデータ流通への対応

 新個人情報保護法は、外国にある第三者への提供の制限(24条)を設けている。外国における個人情報の適切な取り扱いを図るとともに、EUの第三国移転規制を意識している。外国にある第三者へ提供可能な場合として、以下の4点を定めている。
(a)同等性認定国:我が国と同等の保護の水準にあると認められる外国(委員会が規則で定める)。これは国内と同様の扱いだ。
(b)体制整備者:委員会規則で定める基準に適合する体制を整備している者
(c)法令に基づく、生命・身体・財産保護に必要など、国内でも本人同意が不要な場合(23条1項各号)
(d)あらかじめ本人同意を得ること
 24条違反に直罰規定はないが、委員会の措置命令(42条3、4項)に違反すると6月以下の懲役または30万円以下の罰金に処せられる(84条)。

 ここで、日本国内以外の委託先の扱いに留意しなければならない。次に掲げる場合を除き、委託でも第三者提供に該当する。24条は「外国」から(a)の同等性認定国を除いている。同等性認定に該当する国は24条にいう「外国」ではないので、同等性認定国にある事業者への委託には23条5項が適用されて、委託は第三者提供とはならない。