EUと日本、双方向の個人データ移転を認定


個人情報保護委員会(PPC)は、2019年1月23日付で欧州委員会が一般データ保護規則(GDPR)第45条に基づく十分性決定を日本に対して行うこと、これに伴い、同日付で、個人情報保護委員会が個人情報保護法第24条に基づき、欧州連合を「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」として定めることを発表した。

この十分性決定により、GDPR第46定に基づく拘束的企業準則(BCR)、標準契約条項(SCC)などの契約的枠組みによる保護措置をとることなく、EEA地域から日本に個人データを移転することが合法化される。

ただし、EEA地域から個人データの移転を受けた日本の個人情報取扱事業者は、当該個人データの取扱について、個人情報保護法の規定に加え、同法第6条に基づき個人情報保護委員会が定め、欧州委員会による日本の十分性決定に伴い同日付で発効する「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を遵守する義務が生じる。同補完ルールに違反する行為は、個人情報保護委員会による行政処分等の執行対象となるとともに、日本の裁判所に法的救済を求める対象となる。

同補完ルールでは、以下が規定されている。
 GDPRの特別カテゴリー個人データに相当するものとして「要配慮個人情報」の範囲を拡大すること
 EEA地域から移転された個人情報は、消去期限を問わず「保有個人データ」として取り扱うべきこと
 移転時に特定された利用目的等を記録すべきこと
 さらに第三国に移転する場合は、対象個人の同意を取得するなど一定の保護措置を講じるべきこと
 匿名加工情報とみなすためには加工方法等情報を削除し、再識別を不可能としなければならないこと

EEA地域から日本に移転される個人データについて、GDPRの説明責任原則にしたがって補完ルールの遵守を証明する義務が生じるのかどうかについては、確認する必要がある。これまでのBCR、SCCを保護措置とする個人データ移転は、今後も適法である。

なお、今回の決定は、GDPRの規制内容と補完ルールを含めた個人情報保護法の規制内容がほぼ同等の保護水準であると認めたものであり、移転する個人データについて、これらの法律の規定を遵守しなければならないことはこれまでとかわらない。

すなわち、欧州側においては、適切な適法根拠を確立すべきこと、(必要に応じて)関係個人の同意を取得すべきこと、個人データ処理の目的、内容、保持期限、開示先などについて必要な情報提供を行うべきこと、関係個人の権利行使に対応すべきこと、処理する個人データのリスクに応じたセキュリティ対策を講じるべきこと、一定の高リスクな個人データ処理についてはDPIAを行い、DPOを指名すべきこと、外注業者を適切に管理すべきこと、高リスクなデータ侵害が発生した場合には監督機関と関係個人に報告すべきことなど、事業者が負うべき義務は変わらず、事業者はこれまでと同様のGDPR遵守対応を行う必要があることを銘記すべきである。

https://www.ppc.go.jp/files/pdf/310122_houdou.pdf
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

関連記事