日EU間で個人データ保護水準に関する相互十分性を認定
(日本、EU)
ブリュッセル発
2019年01月24日
欧州委員会は1月23日、EUと日本が個人データに関する保護レベルについて、相互に同等と認める決定を採択したことを歓迎すると発表した。欧州委は、EU「一般データ保護規則(GDPR)」の第45条に基づいて日本に対する十分性を認定し、日本の個人情報保護委員会もEU側に同様の対応を行うことで合意した。EUと日本の間で、相互の円滑な個人データ移転を図る枠組みが発効する。欧州の情報通信技術(ICT)関連産業団体のデジタルヨーロッパは同日、日EU経済連携協定(EPA)の2月1日発効を控え、「国際的な個人データ移転のための重要なモデル」になるとし、支持を表明している。
将来的には定期的な監査を通じて保護水準を継続確認
欧州委は2018年9月以降、GDPRに基づく十分性認定の決定採択に向けて手続きに着手(2018年9月6日記事参照)しており、EU加盟国やその個人データ監督機関をまとめる欧州データ保護会議(EDPB)からの意見を聴取するなど、EU側のコンセンサスを得る対応を進めてきたという。このため、今回の相互に同等性を承認する決定の採択と同時に、その法的効力を発効させるとしている。
また、欧州委は発表の中で、「十分性認定には有効期限設定はないが、定期的な監視を行う」としている。具体的には、欧州委が日本側の個人データの保護レベルについて、今回の決定採択から2年後に最初の監査を行い、その後は少なくとも4年に1回の頻度で監査を続けるとしている。
このため、GDPRに詳しい在欧法律事務所は、「重大な個人データ漏えい事件など、日本側の保護水準に疑問が生じた場合、状況によっては将来、十分性認定が撤回されるリスクは否定できない」と指摘する。
なおEUは、アルゼンチン、カナダ、イスラエル、ニュージーランド、スイス、ウルグアイなどの国に対して、既に同様の十分性認定を行っているほか、韓国とは認定に向けた協議を続けている。
デジタルヨーロッパのセシリア・ボネフェルト=ダール事務総長は、EUと日本の両政府のこれまでの取り組みを評価するとともに、「(今回の)十分性認定と日EU・EPAが可能にする、新たなビジネス機会を活用できるかどうかは産業界側次第だ」と語っている。
(前田篤穂)
(日本、EU)
ビジネス短信 61496577e90fd3e8