GDPRとは
GDPR(General Data Protection Regulation:一般データ保護規則)は、EU域内の個人データを保護するEUの規則で、2018年5月に施行されました。
GDPRの特徴: - 制裁金が最大2,000万ユーロまたは全世界年間売上の4%の高い方という厳しい罰則 - 域外適用: EU居住者に財・サービスを提供する、またはEU居住者の行動を監視する企業はEU外でもGDPRの適用を受ける - 個人の権利強化(削除権・ポータビリティ権・アクセス権等)
EU-Japan相互十分性認定
概要
2019年1月、欧州委員会とPPC(個人情報保護委員会)は相互に十分性認定を行いました。
- EU側: 日本の個人情報保護制度はGDPRと同等の保護水準を有すると認定
- 日本側: EUのデータ保護制度は「個人の権利利益の保護」に支障をきたすおそれがない第三国として認定
この結果、日本企業はEUから個人データを受領する際に、標準契約条項(SCC)や拘束的企業準則(BCR)なしに移転が可能になりました。
補完的ルール
ただし、日本側は「補完的ルール」に従う必要があります。EEA居住者から取得したデータについては、日本の個人情報保護法に加え、以下の追加保護が必要です。
- 要配慮個人情報の範囲拡大: 犯罪経歴・労働組合加盟情報等(GDPRの特別カテゴリデータに相当)
- 匿名加工情報への追加制限
- 第三者提供の制限の強化: EEA以外の第三国への再移転には本人同意等が必要
日本企業がGDPRの適用を受けるケース
以下に該当する日本企業はGDPRの適用を受けます(GDPR3条)。
- EU域内に拠点(事業所)を持つ企業
- EU居住者に財・サービスを提供する企業(無償サービス含む)
- EU居住者の行動を監視する企業(アクセス解析・行動ターゲティング広告等)
GDPRが求める主な対応
| 義務 | 内容 |
|---|---|
| プライバシーポリシーの整備 | 処理目的・法的根拠・保存期間等を明示 |
| 同意取得 | 明示的・自由な同意の取得 |
| 個人の権利対応 | アクセス・削除・ポータビリティの請求に対応 |
| データ保護責任者(DPO)の選任 | 大規模処理等の場合 |
| EU域内代理人の選任 | EU外企業でGDPR適用の場合 |
| 処理活動の記録 | 250名以上の企業等 |
| データ侵害通知 | 72時間以内に監督機関へ通知 |
2022年改正個人情報保護法と越境移転
2022年4月施行の改正個人情報保護法では、第三国への個人データの越境移転規制が強化されました(個人情報保護法24条)。
個人データを外国の第三者に提供する場合の対応: 1. 本人の同意を取得する(その際、移転先国の制度情報を本人に提供する義務あり) 2. 移転先が基準適合体制(日本と同等の保護水準)を整備している 3. 移転先が十分性認定を受けた国(EU・英国等)
まとめ
日本企業は、EU向けサービスを展開する場合にGDPRの域外適用を受けます。EU-Japan相互十分性認定により基本的な移転は容易になりましたが、補完的ルールの遵守と2022年改正個人情報保護法の越境移転規制への対応は別途必要です。専門家のサポートのもとで対応を整備することを推奨します。