外国制度(ロシア連邦)

ロシア連邦

pdf版はこちら (PDF : 1006KB)リンク先PDFファイルを別ウィンドウで開きます

個人情報の保護に関する制度の有無

包括的な法令として、以下の法令が存在する。

  • 個人データに関する2006年7月27日の連邦法第152-FZ号(Federal law No. 152-FZ “On personal data” dated 27 July 2006)

個人情報の保護に関する制度についての指標となり得る情報

  • EU の十分性認定※1:なし
  • APEC の CBPR システム※2:なし

OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利

OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。

  • ① 収集制限の原則:上記法令に規定されている。
  • ② データ内容の原則:上記法令に規定されている。
  • ③ 目的明確化の原則:上記法令に規定されている。
  • ④ 利用制限の原則:上記法令に規定されている。
  • ⑤ 安全保護の原則:上記法令に規定されている。
  • ⑥ 公開の原則:上記法令に規定されている。
  • ⑦ 個人参加の原則:上記法令に規定されている。
  • ⑧ 責任の原則:該当する規定は不見当である。

その他本人の権利利益に重大な影響を及ぼす可能性のある制度

  • 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    • ①通信に関する2003年7月7日の連邦法第126-FZ号及び情報、情報技術及び情報保護に関する2006年7月27日の連邦法第149-FZ号
      • ロシア国内の通信及びインターネットサービス提供業者が、ユーザ(国籍を問わない)の通信に関する各情報を一定期間ロシア国内に保存することを義務付け。
  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
    • ① 警察に関する2011年2月7日の連邦法第3-FZ号
      • 警察の刑事又は行政犯罪の捜査、及び事実確認のため、個人データの提出を義務付け。
      • 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • アクセスの実施に関する独立した機関からの承認
        • アクセスの実施に関する透明性の確保
        • 違法なアクセスにより権利等を侵害された場合の救済
    • ② ロシア連邦捜査委員会に関する2010年12月28日の連邦法第403-FZ号
      • 連邦捜査委員会の刑事又は行政犯罪の捜査、及び事実確認のため、個人データの提出を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • 取得された情報の取扱いの制限・安全管理
        • アクセスの実施に関する透明性の確保
    • ③ 連邦保安庁に関する1995年4月3日の連邦法第40-FZ号
      • 連邦保安庁による国家安全保障の確保のため、個人データの提出を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • 取得された情報の取扱いの制限・安全管理
        • アクセスの実施に関する透明性の確保
    • ④ ロシア連邦検察庁に関する1992年1月17日の連邦法第2202-1号
      • 検察庁による訴追に関する監督権限の行使のため、個人データの提出を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • アクセスの実施に関する独立した機関からの承認
        • アクセスの実施に関する透明性の確保
        • 違法なアクセスにより権利等を侵害された場合の救済
    • ⑤ 捜査活動に関する1995年8月12日の連邦法第144-FZ号
      • 捜査当局による、社会及び国家の刑事犯罪からの安全の確保を目的とした、個人の生命、健康、権利及び自由や財産の保護のための権限の範囲内における捜査活動のため、個人データの提出を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • アクセスの実施に関する透明性の確保
        • アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み
    • ⑥ 執行手続に関する2007年10月2日の連邦法第229-FZ号
      • 連邦執行機関による執行手続のため、個人データの提出を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • アクセスの実施に関する独立した機関からの承認
        • 取得された情報の取扱いの制限・安全管理
        • アクセスの実施に関する透明性の確保
        • アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み
        • 違法なアクセスにより権利等を侵害された場合の救済
    • ⑦ 犯罪収益の合法化(ロンダリング)及びテロリズムの資金調達の防止に関する2001年8月7日の連邦法第115-FZ号
      • 犯罪収益の合法化(ロンダリング)、テロリズムの資金調達及び大量破壊兵器の拡散のための資金調達の防止のため、個人データの提供を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • アクセスの実施に関する独立した機関からの承認
        • 取得された情報の取扱いの制限・安全管理
        • アクセスの実施に関する透明性の確保
        • アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み
        • 違法なアクセスにより権利等を侵害された場合の救済
    • ⑧ ロシア連邦租税法典(1998年7月31日の連邦法第146-FZ号)
      • 連邦税務庁及び連邦財務監視庁による税務調査その他租税の確保に関する措置のため、個人データの提供を義務付け。
      • 同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
        • アクセスの実施に関する制限及び手続
        • 法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
        • アクセスの実施に関する独立した機関からの承認
        • 取得された情報の取扱いの制限・安全管理
        • アクセスの実施に関する透明性の確保
        • アクセスの実施について法令遵守を確保するための監督、調査及び審査の仕組み
        • 違法なアクセスにより権利等を侵害された場合の救済

【留意すべき事項】

  • 個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。

  • 当委員会が提供する上記参考情報は、当委員会が2021年度に行った「外国における個人情報の保護に関する制度等の追加調査」の結果に基づくものであり、あくまで当該調査を実施した2022年2月15日時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。

  • 当委員会が提供する上記参考情報は、当委員会が2021年度に行った「外国における個人情報の保護に関する制度等の追加調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第28条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。

    • 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
      • 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
      • 個人情報の域内保存義務に係る制度に関する法令
      • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
    • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
  • ※1  EUの十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定しているEU(EU加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度であるGDPR又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EUの十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
  • ※2 APECのCBPRシステム参加の前提として、APECのプライバシーフレームワークに準拠した法令を有していること、及びCBPR認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じくAPECのCBPRシステムに参加しているエコノミーにおいては、APECのプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APECのCBPRシステム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APECのCBPRシステムの対象は、民間部門である。
  • ※3 OECDプライバシーガイドライン8原則は、OECD加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。

(令和4年1月25日更新)