EU・日本双方向十分性決定に合意


EUは、7月17日、日本との間での個人データ移動に関する双方向の十分性決定を行うことについて合意したと発表した。今後、EUおよび日本でそれぞれの正式手続きが開始される。

EU側では、欧州委員協議会(College of Commissioners)によるドラフト決定案への同意、欧州データ保護委員会(EDPB。GDPR施行に伴い旧29条作業部会が改組された組織で、EU加盟国データ保護監督機関の代表者などで構成する正式諮問機関)からの意見聴取、欧州議会による審査手続、欧州委員協議会による採択などの正式立法手続を踏むことになる。これまでの他国を対象とする十分性決定の例では、これらの手続には数ヶ月を要しており、欧州委員会が公式発表で正式採択の目標とした今年秋に間に合うかどうかは微妙だ。すでにGDPRは施行されており、欧州から日本に個人データを移転する場合、暫くの間は、GDPR第46条の標準契約条項(SCC)に準拠するデータ移転契約の締結による保護など、これまで通りの対策が必要だ。

双方向の十分性決定に伴い、EEA域内から日本に移転される個人データについては、わが国の個人データ保護法に基づく従来の規制のほか、同法とGDPRとの間の規制内容の相違を埋めるためのガイドラインに従うことが求められる。同ガイドラインは法的拘束力を持ち、主な内容は、センシティブな個人データの保護が及ぶ範囲の拡張、日本からEEA域外の別の国に個人データを移動する場合の追加条件、データ主体が行使できる権利の拡張など。

十分性決定により、日本への個人データ移転についてSCC準拠データ移転契約の締結などの手続は不要となるが、上に述べたガイドラインによる上乗せ規制を遵守する必要があるほか、GDPRに基づくデータ保護義務(たとえば同意、契約履行などの適法根拠の確定、プライバシーノーティスなどの情報提供、セキュリティ対策)は当然適用されるので、日本企業のGDPR遵守対応にはそれほど大きな影響を与えないと考えられる。

http://europa.eu/rapid/press-release_IP-18-4501_en.htm

関連記事