個人データ保護の「十分性認定」取得の好機に－日EU首脳が共同声明－

個人データ保護をめぐる日EUの法体系が収れん

欧州委のユンケル委員長と、日EU首脳会談のためブリュッセルを訪れていた安倍首相は7月6日、日EU経済連携協定（EPA）大枠合意の発表（2017年7月7日記事参照）と合わせて、日本とEUの間の個人データの保護についての共同声明を発表した。

個人データ保護に関しては、2016年5月の「G7 伊勢志摩首脳宣言」で、プライバシーおよびデータの保護やサイバーセキュリティーを尊重しつつも、情報の自由な流通およびデジタル経済の全ての主体によるサイバー空間への公平かつ平等なアクセスを促進することが確認されている。基本的人権としての個人データ保護は不可欠だが、同時にインターネットを活用したデジタル経済の発展にとって、自由かつ効率的なデータ移転の確保も重要な課題となっているからだ。この両立を念頭に、EUは2016年5月に「一般データ保護規則（GDPR）」を発効させ、2018年5月25日からの厳罰を伴う施行（詳しくはジェトロレポート「EU一般データ保護規則（GDPR）に関わる実務ハンドブック（入門編）」参照）を控え、日本は改正・個人情報保護法を2017年5月30日に全面施行させている。

今回の共同声明は、個人データ保護をめぐる双方の法体系の収れんが進展していることから、個人データ保護のレベルについても、相互の信頼感が醸成されつつあることに言及。「双方の個人データ保護レベルをめぐる十分性認定を通じた相互データ交換を推進する好機」との認識を示した。また、「2018年早期をめど」として、日EU・EPAと並行して、日EU双方における一層の取り組みを推進することを再確認したとしている。

日本はEUの「十分性認定」検討の優先対象

欧州委は2017年1月に個人データ保護レベルについての「十分性認定」について、相手国として日本を優先的に検討する方針（2017年2月8日記事参照）を明らかにしており、今回の共同声明は、この方針を具体的に進める重要な契機と考えられる。

インターネット社会において個人データを含めた情報の自由な流通は、さまざまなビジネス展開の大前提にあり、その円滑な移転ができないことは大きな経営リスクをはらむとされる。EUのGDPRは、団体・企業（事業主体）などの組織単位で、個人データをEU域外に移転するためには、その適切な運用を保障する社内規則の策定を通じて担保をとる「拘束的企業準則（BCR）」や、欧州委が定めるフォーマットの作成を通じて法令順守を宣言する「標準契約条項（SCC）」などの手法を取ることが一般的な対策とされる。しかし、これらの個別組織（特に中小企業）としての対応には限界があり、法律事務所や会計事務所など専門家のサポートが必要な場合が多く、経費負担に加えて、人的・時間的な負担も重い。

他方、個人データ保護レベルについての「十分性認定」が国家間に存在すれば、相互の個人データの自由な流通は保障されることになる。EUから「十分性認定」を取得できた国はEU域外であっても自由なデータフローが確保されることになり、上記のような組織単位の対応は不要になる。一般に、EUの「十分性認定」には相当な時間が必要とされ、厳しい審査が待っている。この意味で、EU側が日本の「十分性認定」を優先的に検討する方針を示している今は好機と考えられる。

ただし、「十分性認定」は国家間で行われるものであり、仮にEUが日本の個人データ保護レベルについての「十分性認定」を行った場合でも、個人データの移転先に日本以外で、十分性認定が得られていないEU域外国（例えば、ロシアや中国など）が含まれる場合には、組織として「BCR」や「SCC」などの手法を講ずる必要は残る点に注意が必要だ。

（前田篤穂）