General Data Protection Regulation

EU:一般データ保護規則




Topics


2019年1月23日より個人データの移転規制について日本を例外『十分性認定』
欧州委員会が日本を「データ保護水準が十分な国」とし、域内の個人データを持ち出しできる移転先として正式に認定

  • 個人情報保護委員会が2019年1月22日、EUとの間で国境をまたぐ個人データの流通を例外的に認める枠組みが発効すると発表
  • 欧州委員会が日本を「データ保護水準が十分な国」とし、域内の個人データを持ち出しできる移転先として正式に認定
  • 欧州に拠点をもつ日本企業が現地法人の人事情報を一括管理できるようになるなど、企業活動の円滑化につながる

EU20185月、域外への個人データの持ち出しを原則禁じる一般データ保護規則(GDPR)を施行
GDPRには例外があり、データの保護水準がEUと同等と認定した国には特別にデータ持ち出しを認めていました

日本の個人情報保護法もEUと同様に、個人データの国外への持ち出しを制限しています。
日欧両政府はお互いに「保護水準が十分」と認定することで、個人データが自由に行き来できる枠組みを作ることで合意。
日欧ともに2019年1月23日付で正式に認定

日欧の現地法人で働く従業員の情報や顧客データを本社で管理・分析しやすくなります。
これまでは日本の本社と欧州子会社の間で特別に契約を結ぶなどの措置を取らなければ、データを移転させることができなかった。

出典:2019/1/23付日本経済新聞 朝刊



欧州連合(EU)の一般データ保護規則(GDPR)について、日本が欧州委員会から「十分性認定」を得る見通しとなった
欧州から日本に個人情報を移すには、個別に契約を結ぶなど煩雑な手間やコストがかかっていましたが、認定後はこれらが不要になります。


  • データ移転をしやすくなる動きはポジティブ
  • EUと日本のルールの共通化が進み安全にデータのやり取りができれば、オープンイノベーションの活発化にも役立つ

GDPREUで集めた個人情報の域外への移転を原則禁じていますが、「保護水準がEU並み」と認められた国・地域には例外的に移すことができる「十分性認定」の仕組みがあります。アルゼンチンやカナダ、スイスなど約10カ国・地域が認定されています。
米国も「プライバシーシールド」という独自制度でデータ移転が認められるます。

認定前は、欧州のデータを日本に移すためにはデータの持ち主に改めて同意を取り直すか、EUが定めたひな型に沿った契約を結ぶなど特別な手続きが必要でした。例えば欧州の子会社で集めた顧客情報を東京の本社で分析しようとしても、その都度、契約書を作成して弁護士のチェックを受けるなどの手間やコストがかかっていましたが、『十分性認定』後は、こうした作業を省略することが可能になります。

ただし、十分性認定を受けた後も、企業が個人情報を集める際にユーザーに分かりやすく説明し「明確な同意」を得なければならない点は変わりません。日本に移したデータを『十分性認定』を受けていない第三国に再移転する場合も、従来通りの個別契約などが必要となることに注意が必要です。

同意の取得の手続きや個人情報の利用についての不十分な説明などでGDPR違反に問われると、巨額の制裁金を科される可能性があります。

出典:日経電子版 2019/1/23 2:00


     

   


EUでは、EU域内の個人データ保護を規定する法として、「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格。EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。

GDPRはEU域外の事業者へも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。