GDPR 対応の必要性

TL;DR

少なくとも、

  • EU 域内の個人データpersonal data処理processingし、かつ
  • 次のいづれかである:
    • 個人情報保護法を遵守してゐないか、
    • 個人情報取扱事業者でないか、または
    • 追加条件を満たしてゐない

場合は、GDPR に関して、何らかの対策を講ずる必要がある。

十分性認定

日本[1]は EU と相互にんしょうしてゐる。EU から日本への移転については、Adequacy decisions | European Commission に次のやうにある[2]:

さういふ決定の効果は、追加の保護措置を必要とせずに、個人データが EU(ならびにノルウェー、リヒテンシュタインおよびアイスランド)からそれらの第三国へ流れることがあるといふことです。言ひ換へれば、当該国への移転は EU 域内のデータ転送に同化されます。

欧州委員会はこれまでのところ、アルゼンチン、アンドラ、イギリス、イスラエル、カナダ(営利組織)、ガーンジー、ジャージー、スイス、ニュージーランド、フェロー諸島、マン島、日本、韓国を GDPR および LED の下で認めてをり、また、ウルグアイを適切な保護を提供してゐると認めてゐます。

 原文

The effect of such a decision is that personal data can flow from the EU (and Norway, Liechtenstein and Iceland) to that third country without any further safeguard being necessary. In others words, transfers to the country in question will be assimilated to intra-EU transmissions of data.

The European Commission has so far recognised Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea, Switzerland, the United Kingdom under the GDPR and the LED, and Uruguay as providing adequate protection.

日本から EU への移転については、平成31年個人情報保護委員会告示第1号による。この告示は個人情報保護法施行規則151項の各号のいづれにも該当する外国等を定めるものであり、同条は

第十五条 法第二十八条第一項の規定による個人情報の保護に関する制度を有している外国として……

としてゐることに注意。法71条の規定には係らないため、日本の行政機関から EU への個人データの移転は、十分性認定の枠組みでは認められてゐない。逆(EU から公共部門だんたいへの移転)も同様。

また、EU による日本の十分性認定Adequacy decisionは、個人情報保護法の適用を受ける組織への、追加条件に従ふ移転Transferに限定されてをり、EU[3] 域内で取得した個人データが無条件に日本に移転Transferできるといふわけではない[4]Commission Implementing Decision (EU) 2019/419 リサイタル4には次のやうにある(脚注は省略した。):

委員会は日本の法律と慣行を注意深く分析してきた。委員会は、リサイタル6から175で展開される調査結果に基づいて、日本は、個人情報の保護に関する法律(5)の適用範囲内にあり、かつこの決定で言及する追加条件に従ふ組織に移転される個人データについて、適切なレベルの保護をしょうすると結論付ける。これらの条件は、個人情報保護委員会 (PPC)(6) が策定した補完的ルール(附属書 I)ならびに日本政府による欧州委員会への公式の説明、表明およびコミットメント(附属書 II)に規定されてゐる。

 原文

The Commission has carefully analysed Japanese law and practice. Based on the findings developed in recitals 6 to 175, the Commission concludes that Japan ensures an adequate level of protection for personal data transferred to organisations falling within the scope of application of the Act on the Protection of Personal Information (5) and subject to the additional conditions referred to in this Decision. These conditions are laid down in the Supplementary Rules (Annex I) adopted by the Personal Information Protection Commission (PPC) (6) and the official representations, assurances and commitments by the Japanese government to the European Commission (Annex II).

なほ、日本が十分性認定を行ふ外国[5]は、クロアチアを含む EU 加盟国、スイスを除く EFTA 加盟国、およびイギリスの31か国のみ。イギリスは Brexit 時点(2020131日)における EU の十分性認定をそのまゝ引き継いでゐる。UK approach to international data transfers - GOV.UK も参照。

公共部門だんたいへの移転

EU 域内から日本の行政機関や独立行政法人等への移転は、決定では認められてゐない。決定リサイタル10には、

後者の2つの法律(2016年に改正された。)には、公共部門団體による個人情報の保護に適用される規定が含まれる。これらの法律の適用範囲内にあるデータ処理は、本決定に含まれる十分性認定(個人情報保護法の意味における「個人情報取扱事業者」による個人情報の保護に限定される。)の対象ではない。

 原文

The two latter acts (amended in 2016) contain provisions applicable to the protection of personal information by public sector entities. Data processing falling within the scope of application of those acts is not the object of the adequacy finding contained in this Decision, which is limited to the protection of personal information by "Personal Information Handling Business Operators" (PIHBOs) within the meaning of the APPI.

とあり、個人情報保護法162項には、

この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

  1. 国の機関
  2. 地方公共団体
  3. 独立行政法人等
  4. 地方独立行政法人

とある。

展開

デジタル社会の形成を図るための関係法律の整備に関する法律では、学術研究分野を含めた GDPR(EU 一般データ保護規則)の十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化することゝなった[6]。整備法50条は202241日に施行された。

また、決定リサイタル181は、発効後2年以内に最初のレビューを行ひ、その後は少なくとも4年ごとにレビューを行ふとしてゐる。最初のレビュー会合は、オンラインで、20211026日に行はれた[7]

整備法50条は、最初のレビュー5か月後に施行されたゝめ、決定にはまだ反映されてゐない。3年後のレビューでは、この改正についても議論されるだらう[8]

202344日に行はれたレビュー会合では、右整備法50条の施行など(同法51条の施行なども考慮された。)を受けて、EU から日本への十分性認定の範囲を学術研究分野や公的部門などに拡大する可能性を模索することで合意された[9]

追加条件

追加条件については、個人情報保護委員会が附属書 I の日本語版と附属書 II の参考仮訳を公開してゐる:

附属書 I
個人情報の保護に関する法律に係る EU 域内及び英国から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール (PDF)
附属書 II
法執行及び国家安全保障目的の日本の公的機関による個人情報の収集及び使用 (PDF)

このサイトは法解釈を行はず、法律意見を提供しない。CC-BY-SA-4.0 5Section 5も参照されたい。

  1. この記事では日本と EU の関係だけに集中する。 ↩︎

  2. LED は、決定Decision (EU) 2021/1772 と合はせて、EU がイギリスの十分性認定を行ふものである。 ↩︎

  3. 右引用に倣って、この記事では、地域について言ふときは、クロアチアを含む EU 加盟国27か国、およびスイスを除く EFTA 加盟国3か国、合はせて30か国を差して「EU」と言ふ。なほ、クロアチアは、2014年から EEA を暫定的に適用してゐるが、EEA 加盟国ではない。 ↩︎

  4. カナダと同様に「(private-sector organisations)」などゝ付記した方が良いと思ふ。 ↩︎

  5. 個人情報保護法281項における「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」。 ↩︎

  6. 法令|デジタル庁も参照。 ↩︎

  7. Joint statement ↩︎

  8. GDPR 453Article 45(3)には、

    その実施法は、定期的な(少なくとも4年ごとに行はれる)レビューの仕組みを規定するものとし、そのレビューは、その第三国または国際機関における全ての関連する進展を考慮に入れるものとする

     原文

    The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation.

    とある。 ↩︎

  9. Joint Press Statement ↩︎