GDPR(欧州連合の一般データ保護規則)に違反すると最大2000万ユーロの制裁金が課されることを恐れ、世界中で対応が進められている。
そんななか、個人情報保護委員会の参事官が「欧州委員会との十分性認定に向けた交渉の最終段階にある」ことを明らかにした。仮に欧州から日本が「十分性認定」を受けると、個人情報の移転に関する規制は一定程度緩和されることになる。「十分性認定」によって巨額制裁金への恐怖から逃れることができるのか、日本企業の関心も高まっている。
-
フランス情報処理と自由に関する国家委員会(CNIL)が発行している中小企業向けGDPRガイド
EUからEU域外に移転する個人情報を規制
個人情報保護の強化を目的とした「一般データ保護規則(GDPR:General Data Protection Regulation)」が2018年5月25日にEUで施行された。GDPRはEU域内の個人情報の取扱いを規制する法律だが、EUからEU域外に移転する個人情報についても規制しているため、日本に移転される個人情報についても規制が課せれる。
違反すると、最大2000万ユーロの制裁金が課される可能性もあり、日本企業も対応に追われている。
GDPRでは、EUからEU域外に個人情報を移転することを原則として禁止している。そのため、EU域外の企業などが、EUから個人情報を取得するためには、所定の契約を締結したり、個人情報の本人からの明示の同意を取得するなど、GDPRに規定された手続きを取る必要がある。
たとえば、海外に支店があり、海外の支店の従業員の情報が日本の本店に移転する場合でも、所定の契約書を締結したり、個人情報の本人の同意を書面などで取得する必要が出てくる。
こうしたGDPR所定の手続きから一部解放されるのが欧州委員会の「十分性認定」だ。「十分性認定」は、十分な個人情報の保護水準が保障されていることを認定するもので、EUからEU域外に個人情報を移転する規制が免除される。
これまで政府は、GDPRの適用が産業の弊害とならないよう欧州委員会との交渉を重ねており、個人情報保護委員会は「十分性認定」が得られた場合の対応策をまとめたガイドライン案を2018年4月公表した。また、個人情報保護委員会の参事官は、2018年5月30日に都内の講演で「欧州委員会との十分性認定に向けた交渉の最終段階にある」と明かしており、欧州委員会から「十分性認定」がなされるのは時間の問題と考えられる。
「十分性認定」でGDPRへの対応がいらなくなるわけではない
もっとも、「十分性認定」がなされても、制裁金の恐怖から逃れることは難しそうだ。
東京都内の弁護士は、「EUから取得した個人情報については、結局GDPRにそった取り扱いをしなければならいことは変わらない。一部の手続きが免除されるだけで、制裁金から逃れることができるという話ではない」と話す。
「誤解している人が多いが、十分性認定によって、GDPR対応がいらなくなる企業はあまり考えられない。むしろ、対応が必要ないと誤認して、制裁金が課される確率が高まる可能性さえ考えられる」
GDPRについては、制裁金の規定があるためか、改正個人情報保護法の施行(2017年5月)の時よりも企業の担当者の関心が高いという。ただ、国内企業の対応は遅れており、2018年5月24日付日経新聞もGDPRについて日本の主要企業の8割が対応未了だと報じている。
「制裁金への恐怖から企業は対応に追われてコンサルティング会社に駆け込んだりしているようだが、多くのコンサルは法律に弱くて明らかに誤った対応をしている企業も散見される。本当にちゃんと対応できている企業は1割未満では」(前出の弁護士)