日本・EU間における個人データの相互移転枠組み確立に向けた動き
岩田合同法律事務所
弁護士 深 沢 篤 嗣
1
我が国で個人情報の保護に関する法律(以下「個人情報保護法」という。)が成立した平成15年以降の、企業活動のグローバル化やインターネット等を利用した国際的なデータ移転の拡大は目覚ましく、国境をまたいだ個人データの遣り取りを行うニーズが高まっている。一方、個人情報保護の観点からは、外国の第三者への提供には国内の第三者への提供とは異質なリスクが存在しており、産業上の活用と個人情報の保護との調整が必要となる。
この点EUでは、従前よりEUデータ保護指令[1]によって、EU域内から第三国へ個人データを移転するためには、原則として、次のいずれかの手続が必要としている[2]。
- ① 当該第三国が、「十分な保護措置を講じている国」として認定を受ける。
- ② 多国籍企業内でのデータ流通を認める拘束的企業準則(BCR)を申請し、監督機関の許可を得る。
- ③ 移転元企業が、移転先企業との間で、標準契約条項(SCC)を締結する。
- ④ 本人の同意を得る。
上記①から④のうち、最も包括的であり、かつ、移転元企業にとって便宜な上記①の手続は、一般に「十分性認定」と呼ばれており、我が国はこの認定を受けていないことから、EUから我が国への個人データの移転には一定の負担が伴っていた。
我が国では、平成29年5月30日に個人情報保護法の改正法(以下「改正法」という。)が施行されたが、当該改正の目的のひとつは、我が国の個人データに関する保護措置の水準を高め、EUからの十分性認定を得ることにある。
2
一方、我が国の個人情報保護法においては、従前は外国の第三者への個人データの提供について特別な規定はされていなかったが、改正法において、個人情報取扱事業者が、「外国」にある「第三者」に個人データを提供する場合には、上記のEU保護指令と類似の要件を定める規定が新設された(改正法24条)。すなわち、原則として、あらかじめ「外国」にある「第三者」への提供を認める旨の本人の同意を得なければならないとした(上記④参照)上で、「外国」からは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」は除かれ(上記①参照)、また「第三者」からは、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」は除かれる(上記②及び③参照)。
しかしながら、現在までのところ、この「外国」を指定する個人情報保護委員会規則は定められておらず、早期の指定が望まれているところである。
3
このような中、改正法の施行に先立つ平成28年7月29日、個人情報保護委員会(以下「委員会」という。)は、「個人データの円滑な国際的流通の確保のための取組について」を決定し、米国、EUとの間で、相互の円滑なデータ移転を図る枠組みの構築を視野に定期会合を立ち上げるとの方針を打ち出していた。
その後、委員会は、EU(欧州委員会司法総局)に対して、改正法のガイドラインを含めた我が国の個人情報保護法制について詳細な説明などを重ね、平成29年7月4日、「日EU間の相互の円滑な個人データ移転について」を公表するに至った。当該公表において、委員会は、「今後、欧州委員会の日本に対する十分性認定に係る作業の進捗に併せて、来年前半を目標に個人情報保護法第24条に基づくEU加盟国の指定を行う可能性を視野に、今後委員会規則の改正手続を進めていくこととする。」との方針を公表しており、初めて改正法24条に基づく指定の具体的な見込みが示された。
このように、平成30年の前半には、委員会がEU加盟国について改正法24条に基づく認定を行う可能性が示され、また、「欧州委員会の日本に対する十分性認定に係る作業の進捗に併せて」との記載からすると、EUにおける我が国に対する十分性認定のプロセスも進捗していることが窺われ、EUからの認定についても同時期になされる可能性があると言える。
日本、EU相互の十分性認定が完了すれば、改正法24条やEUデータ保護指令に基づく手続(上記②乃至④参照)を省略することができ、日本・EU間で個人データの移転の負担が大幅に軽減される。EUに子会社、事業所を有する日本企業や、EU企業との取引により個人データの授受を行う日本企業においては、約1年以内にかかる認定がなされる可能性を踏まえ、EUとの個人情報の授受に関する体制の変更につき、検討を進めていくことが必要であろう。
以上
[1] なお、EUでは、平成28年月14日に欧州議会において、EU域内で適用されるデータ保護の統一ルールとして、EUデータ保護指令に代わって、EU一般データ保護規則(General Data Protection Regulation:GDPR)が採択され、平成30年5月25日より適用される予定である。
[2] 個人情報保護委員会 平成28年11月9日付「個人情報保護委員会の国際的な取組について」2頁