(画面はガイドライン案の表紙です)
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。
EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が5月25日から施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることについて、マスコミでも多く報道されており、関心をお持ちの方も多いと思います。
これに関して、興味深い動きがありますので、情報共有したいと思います。それは、日本が国レベルでのEUから「十分性認定」を受けられることがほぼ現実的になってきたということです。
以下、もう少し詳細にご説明しますね。
EU(欧州連合)は、他地域にさきがけ、個人情報保護法制を整備してきました。その中で「EU居住者の個人情報を持ち出す時には一定の条件が必要」としてきました。
その条件を分かりやすく集約すると
(1)持ち出す先の国がEUと同程度の厳しさの個人情報保護法制を持っていること
(2)持ち出す先の外国の事業者が一定のルールに基づいて体制を整備すること
(3)本人が明確に同意していること など
となります。
上記(1)の認定を国レベルで受けることを「十分性認定」と言います。国レベルで十分性認定を受けると、その国の企業は特別な手続きをせずにEUの居住者の個人情報を持ちだせるようになります。しかし、現在まで日本はこの十分性認定を受けていなかったため、企業単位で(2)の対応を行ってきていました。
昨年施行された日本の改正個人情報保護法は、EUの十分性認定を受けることを目標としていました。一方でEU側でも改正個人情報保護法制「GDPR」の施行がありました。この両者の整合性を取るべく、日本の個人情報保護委員会とEUの欧州委員会の間で、やり取りがなされてきました。
その結果、今回のガイドラインを国内に適用することで、日本は国レベルでEUの十分性認定を受けることができることになったようです。(どこにもそのようにはっきりと書いていないので分かりにくいのですが、今回のガイドライン案の発表はそういうことを意味しているようです)
今回のガイドラインの内容を簡単にまとめると下記のようになります。
個人情報の保護に関する法律についてのガイドライン
(EU域内から十分性認定により移転を受けた個人データの取扱い編)
(1) 要配慮個人情報(法第2条第3項関係)
→性生活 、性的指向又は労働組合に関する情報を要配慮個人情報に含めること
(2) 保有個人データ(法第2条第7項関係)
→6か月以内に削除する場合でも保有個人データに含めること
(3) 利用目的の特定、利用目的による制限(法第15条第1項・法第16条第1項・法第26条第1項・第3項関係)
(4) 外国にある第三者への提供の制限(法第24条・規則第11条の2関係)
(5) 匿名加工情報(法第2条第9項・法第36条第1項第2項関係)
→加工方法等情報を削除した場合のみ匿名加工情報とできる
このガイドライン案については、既にパブリックコメントの受付が終了しており、間もなく正式発表がなされるものと思われます。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000050&Mode=0
(関連記事)
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html
(私のコメント)
遂に長年の懸案だった「EUの十分性認定」が現実のものになるということで、うれしく思います。なお、GDPRについては、私も完全に追いかけられていないのですが、皆さんちょっと騒ぎすぎかなと思っております。十分性認定が受けられば、SDPCもBCRも不要になるわけですしね。
また、何か情報が入りましたら、皆様にシェアいたしますね。
(追記)
ちょうどタイミングよく、このようなニュースが入ってきました。
EU、GDPRに基づく個人データの域外移転で日本の「十分性認定」を検討へ
https://japan.zdnet.com/article/35120097/