トピックス

【ニュース】GDPR第45条に基づく十分性認定発効と実務対応

 平成31年1月23日、EUで施行されているGDPRについて、GDPR45条に基づき、日本が十分性認定(欧州委員会において、日本が個人データの移転先として「十分な保護のレベルにある」とみなされること)を受けました。また、同日付で、EUも個人情報保護法第24条に基づく指定(個人情報保護委員会において、EUが個人データの移転先として、「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」であると指定されること)を受けています。詳細は、個人情報保護委員会のホームページ並びに欧州委員会及び個人情報委員会による共同プレス・ステートメントをご参照下さい。なお、GDPRの概要については、平成30年9月8日付の弊所トピックスでも解説させて頂いておりますので、併せてご参照下さい。

https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/ 

https://www.ppc.go.jp/files/pdf/310123_pressstatement.pdf 

https://www.spring-partners.com/topic/1231.html

 これまで、EU域内から日本への個人データの移転(越境移転)については、厳格な保護措置(SCC/SDPS、BCR、行動規範、認証(第46条第1項))を実施する等の手続を履践しない限り認められていませんでしたが、日本が十分性認定を受けたことにより、上記の手続を要することなく個人データの越境移転が可能となります。

 ただし、十分性認定により解消されるのは越境移転規制のみであり、その他の規律は十分性認定による影響を受けないことに注意が必要です。また、日EU相互間の個人情報保護法制は極めて類似していると言われているものの、いくつかの相違点も存在するため、十分性認定により移転を受けた個人情報について高い水準の保護を確保するべく、平成30年9月には、個人情報保護委員会により、「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」といいます。)が策定されています。

https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf 

 補完的ルールの下では、以下の対応が必要となります。

① 要配慮個人情報の範囲の拡張

 要配慮個人情報(第2条第3項)の定義に含まれない「性生活」、「性的嗜好」及び「労働組合」に関する情報についても、要配慮個人情報と同様の取扱いをすることが必要となります。

② 保有個人データの範囲の拡張

 個人情報保護法では、6か月以内に消去することとなる情報については、「個人データ」(第2条第7項)の定義に含まれず、開示、停止、削除請求等(以下「開示請求等」といいます。)の対象から除外されていましたが、EU域内から移転を受けたデータについては、6か月以内に消去することとなるデータであっても、「個人データ」として開示請求等の対象となります。

③ 利用目的の特定

 EU域内から移転を受けた個人データについては、確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定するとともに、その範囲内において個人データを利用することが必要となります。

④ EU域内から移転を受けた個人データの外国への再移転

 EU域内から移転を受けた個人データを外国へ再移転する場合、本人が再移転に同意するか否かの判断に必要な再移転の状況について情報を提供するか、再移転先との間で契約等により個人情報保護法と同水準の保護措置を実施することが必要となります。

⑤ 匿名加工情報の範囲の限定

 EU域内から移転を受けた個人データを匿名加工情報(第2条第9項)として扱おうとする場合、加工方法に関する情報を削除し、再識別を不可能なものとすることが必要となります。

 以上のとおり、十分性認定の発効により個人データの日EU間での越境移転が可能となり、個人データの利活用のハードルは低くなったとは言えますが、越境移転以外の規律自体が緩和されたものではなく、越境移転を伴う個人データの利活用については、依然として慎重な対応が必要となります。当事務所では、国際的な会計事務所及び法律事務所の連携グループや海外の法律事務所とも連携して国際的なリーガルサービスの提供にも対応しておりますので、日本の個人情報保護法制に関する相談はもちろん、GDPRを含む諸外国の個人情報保護法制に関するリーガルサービスの提供についても、ご相談がありましたら是非お問合せ下さい。

《弁護士 石井林太郎》