個人情報保護委、日EU間データ移転をめぐる相互認定の23日付け決定
岩田合同法律事務所
弁護士 平 井 裕 人
1 はじめに
個人情報保護委員会(以下「PPC」という)は、本年1月22日、欧州委員会との間で、同委員会が日本に対して「一般データ保護規則」(General Data Protection Regulation、以下「GDPR」という)45条[1]に基づく十分性認定(adequacy decision)を行う方針につき合意に至ったことを発表した。1月23日、欧州委員会は、日本に対して十分性認定を行った[2]。
GDPR上、個人データを、EEA(EUにアイスランド、リヒテンシュタイン、ノルウェーを加えた経済領域)域内から域外へと移転するには、定められた要件を満たす必要があるが、十分性認定を取得した国・地域については、原則として個人データの移転をその他の要件を充たすことなく行うことができる。そのため、従前より十分性認定の取得が期待されていたところ、今回十分性認定がなされるに至り、経済界からは早くも好意的な声が寄せられている[3]。
本稿では、GDPRにおける個人データの越境移転規制について改めて紹介し、十分性認定がなされたことの意義について読者の理解の一助としたい[4]。
2 第三国または国際機関への個人データ移転
⑴ 総論
GDPRが適用される場合、個人データ(識別された、または識別され得る自然人に関する、あらゆる情報をいう)をEEA域内から第三国または国際機関へ移転するには次の3つのいずれかの要件を満たす必要がある。
- ①:移転先の第三国が十分性認定を受けている(45条)
- ②:適切な保護措置(appropriate safeguards)を講じている(46条)
- ③:例外事由に該当する(49条)
上記枠組みは、下記参考資料記載の通り、日本の法制度と類似している点もあるものの、実務的には、GDPRの方がより厳しい規制であると解されている。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください