ロシアの個人情報保護

 情報化社会が進み、個人情報の保護が世界的に重要となってきている状況です。個人情報に関連して、日本が個人情報保護法を改正し、2019年1月にGDPRに基づく十分性認定をEUから受けたことはまだ記憶に新しいのではないでしょうか。
 ロシアは地理的にはヨーロッパに分類されますが、政治体制の関係でEUには加盟していません(ただし、Council of Europeには加盟)。
 今回はロシアの個人情報保護の概要を紹介したいと思います。

ロシアの個人情報保護法制の概要

保護対象となる個人情報

 ロシア連邦の個人情報保護法(Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных».)3条1項によると、個人情報とは、個人を直接または間接的に特定することが可能なすべての情報と規定されています。

 その上で、大統領令(Указе Президента РФ от 06.03.97 № 188)においては、何が個人情報として扱われるかが列挙されています。そこでいう「市民の私生活に関する情報」とは、具体的には、氏名、生年月日、出生地、住所、家族構成、社会的地位、仕事に関する情報(職業および職位)、収入、不動産の所有情報、生体認証に関連する情報等であるとされています。

 その他、実際に裁判所が個人情報として認定したものとしては、例えば、以下のようなものが挙げられます。

 (1) 死亡年月 (裁判例:остановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014)
 (2) 携帯電話の番号 (裁判例:апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015)
 (3) 顔写真 (裁判例:апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015)

個人情報の取り扱い

 では、個人情報に該当するとした場合、どのような制約がかかってくるのでしょうか。
 個人情報に該当する場合には、個人情報の取扱い(例えば、収集、保管、更新、加工、システム化、匿名化など)をするには個人の同意が必要となるのはもちろんですが、ロシアの特徴としては、取扱いに関連する問題等が発生していなくとも、個人情報の取扱いをする際には、ロシアの情報保護委員会(Роскомнадзор)に取扱いをする旨の通知をする必要があります(ロシア連邦個人情報保護法3条2項)。

取扱通知の例外

 もっとも、当該通知には免除規定もあり、たとえば、従業員の個人情報のみを保管する場合は通知義務が免除されます。
 通知は、紙媒体ではなく、電子形態で行うことも可能ではあるのですが、個人情報の取扱いが不適切であったときに個人情報保護委員会に通知を要する日本の制度構築よりも広い範囲で通知を求める場面があるので、ロシアで個人情報を取り扱う際には、この点、注意が必要です。
 また、ロシアで事業を展開している外国企業はロシアに会社を保有していない場合であっても、ロシア連邦個人情報保護法の適用対象となるので注意が必要です。

参考

https://www.law.ru/article/21683-chto-vhodit-v-personalnye-dannye-i-ih-obrabotku