« 個人情報は「取得」か「収集」か | Main | 漏えい事故!! 直ちに、速やかに、遅滞なく »

2005.02.19

個人情報 頭の体操 番外編

 こんにちは、丸山満彦です。今日は番外編です。多くの企業にとってはあまり関係ない論点ですが、たまたま関与している企業で話題になった問題です。個人情報保護法は海外支店に及ぶのか?とか・・・
 これは既にどこかの省庁のガイドラインか、解説本で説明されていたような気がします。

 
【事例1】 私は、米国企業A社の日本支社で営業部として働いています。毎日、顧客の情報を取り扱っています。顧客データベースは米国のサーバにあります。顧客データベースは全世界30万人以上が登録されていますが、日本支社から入力した顧客情報は2000件ほどです。日本支社には、これ以外には従業員と若干の取引先の個人情報データベース等があるだけです。
①当社(A社)が個人情報取扱事業者となるのでしょうか、
②それともA社のうち、日本支社だけが個人情報取扱事業者となるのでしょうか、
③それとも日本支社から入力した顧客情報が2000件少々であるので個人情報取扱事業者にはならないのでしょうか。

【事例2】 当社は、旅行代理店です。当社はソウルに支店があります。ソウル支店では現地の日本人顧客を中心に顧客情報を約1000件ほど所有しています。ソウル支店の顧客データベースはエクセルで作成されており、日本本社の顧客データベースとはつながっておらず現地で独立しています。
●ソウル支店で個人データの漏えいを起こした場合も、当社は法令違反となりうるのでしょうか。

|

« 個人情報は「取得」か「収集」か | Main | 漏えい事故!! 直ちに、速やかに、遅滞なく »

Comments

丸山 様

夏井です。

こんばんは。

どうも調子が悪いです。誰かパトロンでもついてくれたら,しばらく仕事を休んで保養したいのですが,世の中甘くないです・・・(とほほ)

さて,番外編の問題も基本的な問題ですね。

ただし,頭の悪い人は,すぐに準拠法や国際的裁判管轄権の問題だと即断し,間違った答えを出してしまうので要注意です。

あくまでも,国内法の解釈の問題ですね。

Posted by: 夏井高人 | 2005.02.19 at 21:27

夏井先生、コメントありがとうございます。弁護士ではないコンサルタントでは、「準拠法や国際的裁判管轄権の問題ではない」ということすら気にしていない人ばかりだと思います。
そして、個人情報保護法では、XXXまでしか要求していないから大丈夫とか・・・そんな危ない話も飛び交ってたり・・・しそうですね。

Posted by: 丸山満彦 | 2005.02.19 at 21:41

丸山 様

夏井です。

> そんな危ない話も飛び交ってたり・・・しそうですね。

・・・ですね^^

Posted by: 夏井高人 | 2005.02.19 at 21:44

立法管轄権の問題ですよね。

あとは、日本での情報主体を主として対象にしている場合には、海外での処理も対象にすべきともいえそうです。
(ただ、監督権が及ばないだけ-この仕組みは、意外と証券取引法にあったりします)

頭の悪い答え方になるのでしょうか?

Posted by: Mr.I*T | 2005.02.21 at 10:13

Mr.I*Tさん。丸山です。すみません。名前を間違えていましたね・・・。あの・・・「プロの方お断り」です(笑)。

Posted by: 丸山満彦 | 2005.02.21 at 11:03

Mr.I*T 様

夏井です。

日本国領土及び日本国民に対して効力のある法律の制定及びその執行について日本国が権限をもっていることは当然のことで,それゆえに個人情報保護法が制定され一部施行されているのですから,立法管轄権の問題ではないと解します。

要するに,日本国に営業場所のある外国法人,外国営業所に個人データベースを保有する日本国法人等の文脈での個人情報保護法の該当条項の個別解釈の問題ですね。

準拠法の問題がからんでくれば,当該国の法令が重畳して適用されるか,または,どちらかの法令が適用排除されるという関係になりますが,本問では,日本国において日本国法が適用されるのかどうかという文脈上,そのような準拠法上の面倒な問題が出てくる余地が全くないと思われます。
裁判管轄権の問題にしても,日本国に営業場所のある外国法人,外国営業所に個人データベースを保有する日本国法人のいずれに対しても100パーセントの国際的裁判管轄権を日本国が有しているので全く問題にならないと思います。

日本国に営業場所のある外国法人であっても日本国内においては日本国法に従わなければならないし,また,外国営業所に個人データベースを保有する日本国法人は場所のいかんを問わずそのデータベースを保有しているわけだから,いずれの場合にも日本国の個人情報保護法がストレートに適用されることになると思います。

設例では,外国に所在するデータベースの管理がうまくいかない(法制の相違や事実上の障害などの理由により,日本国内から適切に管理できない)という設定になっていますが,それは,日本国法の適用のある個人情報取扱事業者が法定の要件を満たすレベルで個人データを安全に管理していない(管理不能なのに管理を開始しその状態を継続する行為も「安全に管理していない」の概念に含まれる。)ということを意味するだけのことですね。

非常に単純な問題だと理解すべきでしょう。

Posted by: 夏井高人 | 2005.02.21 at 13:32

夏井先生

ITです。
>日本国領土及び日本国民に対して効力のある法律の制>定及びその執行について日本国が権限をもっている

抵触法についての考え方では、では日本国とどの程度の関連性をもっている場合に、この「権限を有する」といえるかと議論していると理解しています。

そして、「立法管轄権」の解釈は、「国内法の解釈問題」です。(準拠法については、適用がなされることが判明しないと、議論にならないですよね。あと、裁判管轄権の問題も理論的には、別-但し、不法行為だとほとんど一体化しますけど)

さらに、個人情報保護法が、かかる国際的なデータプロセッシングについての論点を、置き忘れていること、そして、トランスボーダーでの移転の論点を落としていることは指摘できると思います。

もっとも立法管轄権という用語は、国際公法では使うですけど、一般にはあまり使わないんでしょうね。

いいたいことは、要は、プロバイダ責任制限法は、きちんと国際的な適用範囲まで念頭においていたのに、個人情報保護法は、そんな考えがなかったよね、ということです。(ここらへんはどうなんでしょうか)

Posted by: Mr.I*T | 2005.02.21 at 23:22

Mr.IT 様

夏井です。

あまり細かく書くと模範解答を書いちゃうことになるんで,今度お会いしたときに正解を確認しあいましょうね^^

外資系企業は,契約においては,自国の法令を準拠法とし,合意管轄地を自国内の特定の裁判所として約定することができますが,日本国の公法の適用を防ぐ方法は存在しません。
そして,個人情報保護法は日本国の公法ですので,データベースの実体が海外にあろうとなかろうと,当該企業の日本支社等には日本国の個人情報保護法が全面的に適用されることになるという当然のことを前提に考えれば足りますね。
そのような法の適用がいやなら日本国から撤退すれば良いだけのことです。日本国の企業も,たとえば米国においては100パーセント米国の法に従わなければならないのとぜんぜん変わりありません。それがいやなら米国から撤退すれば良いだけのことです。

また,日本企業の海外支社の例は,日本国法人の従業員が個人情報を記録したPCを海外で紛失したといった事例とぜんぜん異なることなく,日本国内における安全管理義務違反の有無の問題として理解することができます。

つまり,日本国の個人情報保護法の該当条項の解釈問題しか存在していないことになると思います。

Posted by: 夏井高人 | 2005.02.22 at 15:35

 ということで、米国大使館や米国商務省、USTRもおだやかながら、非関税障壁にならないだろうなぁ・・・と注視されているような・・・。
 米国政府関係者は某ウェス●ィン先生以上に正確に日本法を分析されているようにも思うのですが。
 暗号解読能力はさすがに高いというべきか。
 米国は誰から教わっているのだろう。

Posted by: 鈴木正朝 | 2005.02.22 at 23:31

鈴木 様

夏井です。

そのような話は,私も耳にしたことがありますが,真実かどうかは知りません。

でも,日本国の個人情報保護法が非関税障壁であるならばEUの個人データ保護指令(2002年の電子通信プライバシー保護指令による改正部分を含む。)はもっと非関税障壁ですね。

しかし,この問題は,要するに国家主権の問題なので,米国企業といえども日本国においては日本国の法令に従わなければならない。日本企業が米国においては米国法に従わなければならないのと同じです。

当該外国企業の本国法ではそのような規制はないからという理由で特定の外国企業に対しては日本国の個人情報保護法を適用しないとすれば,それは,当該外国に対して一般的に「治外法権」を認めるのと同じことになります。
日本は,まだ明治維新のように列強に蹂躙され不平等条約を押し付けられたままの国なのでしょうか?

とはいえ,問題の本質は,すべてのカテゴリーを網羅するようなかたちで個人情報保護法を制定したことにあるのかもしれません。

もし米国法とパラレルの法制になるように日本国の個人情報保護法制を構築したと仮定すれば,非関税障壁だという非難は成立し得なかったと思います。
ただし,その場合には,EU指令への適合性がなくなってしまうので別の問題が発生してしまいますね。
かと言って何も立法しなければ,それはそれで内外から非難を受けてしまうでしょう。

どっちにしろ,日本国は,どこかの国または誰かから非難を受けるしかない立場にあるわけですよ。

そのこともあって,私は法律等の英訳語等にこだわり続けるんです。きちんと英訳できない法律はまずいです。ますます誤解を増幅させてしまいます。

Posted by: 夏井高人 | 2005.02.23 at 05:14

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/2998469

Listed below are links to weblogs that reference 個人情報 頭の体操 番外編:

« 個人情報は「取得」か「収集」か | Main | 漏えい事故!! 直ちに、速やかに、遅滞なく »