欧州委、日本のデータ保護水準に対する十分性認定の手続きに着手

(EU、日本)

ブリュッセル発

2018年09月06日

欧州委員会は9月5日、EUと日本の間での、相互の円滑な個人データ移転を図るため、日本のデータ保護水準について十分性を認定する手続きに着手したと発表した。EUは2018年5月25日施行の「一般データ保護規則(GDPR)」によって、EUを含む欧州経済領域(EEA)外への個人データの移転を禁止し、適切な対応を取らない違反行為に対しては高額の制裁金を科す方針を明らかにしている。日本との間では7月17日、相互のデータ移転を認めるための枠組みの構築に関する最終合意に至っていた(2018年7月18日記事参照)。EUによる、日本の個人データ保護水準に関する十分性認定外部サイトへ、新しいウィンドウで開きますが完了すれば、EUから日本へのデータ移転が例外的に認められることになる。

2018年内の十分性認定プロセスの完了を目指す

欧州委のベラ・ヨウロバー委員(法務・消費者・男女平等担当)は同日の記者会見で、「(日本・EU相互の十分性認定を通じて)データが安全に移転される世界最大のエリアを形成することになる」と抱負を語った。また、今後の作業プロセスについて、「欧州データ保護会議(EDPB)」(注)からの意見聴取やEU加盟国代表で構成される委員会への諮問、欧州議会内の市民の自由・司法・内務委員会(LIBE)での審議、欧州委員合議体での採択を得て、2018年内の完了を目指している」との見通しを明らかにした。

なお、日本に対するEUの十分性認定が発効した場合でも、日本企業はGDPRの個人データ「処理」に関する義務の履行が求められる可能性がある。また、EUが十分性認定していない国・地域に展開する日系企業がEU域内の個人データにアクセスする時は、GDPRにのっとった厳格な対応が求められる点は注意を要する。

日本の個人情報保護委員会が8月24日付で公表した意見募集結果によると、今回の十分性認定は公的部門(国の機関、独立行政法人など、地方公共団体、地方独立行政法人)へは直接適用されないとしている。

他方、欧州委は、犯罪対策や安全保障上の目的で、妥当性が認められる場合に限定して、日本の政府機関がEU市民の個人データにアクセスすることを認めている。今回の発表で、その前提として、日本の政府機関によるEU側の個人データへのアクセスに疑義が生じた場合、その実態を調査し、問題解決を図るための「不服申し立てメカニズム」の導入を日本側に求めている。

(注)EU加盟国各国のデータ保護機関の代表と、欧州データ保護監察機関(EDPS)の代表によって構成される組織。

(前田篤穂)

(EU、日本)

ビジネス短信 033ecf81ce5a6ee3