日EU間で個人データ保護水準に関する相互十分性を認定

欧州委員会は1月23日、EUと日本が個人データに関する保護レベルについて、相互に同等と認める決定を採択したことを歓迎すると発表した。欧州委は、EU「一般データ保護規則（GDPR）」の第45条に基づいて日本に対する十分性を認定し、日本の個人情報保護委員会もEU側に同様の対応を行うことで合意した。EUと日本の間で、相互の円滑な個人データ移転を図る枠組みが発効する。欧州の情報通信技術（ICT）関連産業団体のデジタルヨーロッパは同日、日EU経済連携協定（EPA）の2月1日発効を控え、「国際的な個人データ移転のための重要なモデル」になるとし、支持を表明している。

将来的には定期的な監査を通じて保護水準を継続確認

欧州委は2018年9月以降、GDPRに基づく十分性認定の決定採択に向けて手続きに着手（2018年9月6日記事参照）しており、EU加盟国やその個人データ監督機関をまとめる欧州データ保護会議（EDPB）からの意見を聴取するなど、EU側のコンセンサスを得る対応を進めてきたという。このため、今回の相互に同等性を承認する決定の採択と同時に、その法的効力を発効させるとしている。

また、欧州委は発表の中で、「十分性認定には有効期限設定はないが、定期的な監視を行う」としている。具体的には、欧州委が日本側の個人データの保護レベルについて、今回の決定採択から2年後に最初の監査を行い、その後は少なくとも4年に1回の頻度で監査を続けるとしている。

このため、GDPRに詳しい在欧法律事務所は、「重大な個人データ漏えい事件など、日本側の保護水準に疑問が生じた場合、状況によっては将来、十分性認定が撤回されるリスクは否定できない」と指摘する。

なおEUは、アルゼンチン、カナダ、イスラエル、ニュージーランド、スイス、ウルグアイなどの国に対して、既に同様の十分性認定を行っているほか、韓国とは認定に向けた協議を続けている。

デジタルヨーロッパのセシリア・ボネフェルト＝ダール事務総長は、EUと日本の両政府のこれまでの取り組みを評価するとともに、「（今回の）十分性認定と日EU・EPAが可能にする、新たなビジネス機会を活用できるかどうかは産業界側次第だ」と語っている。

（前田篤穂）