個人情報保護における、GDPR(EUの一般データ保護規則)に違反すると最大2000万ユーロの制裁金が課されることを恐れて、世界中の企業で対応が進められている。
そんななか、日本は欧州委員会から個人データの移転に関する「十分性認定」を2018年秋までに受けることが確実になった。
ただ、「十分性認定」が認められることによって、「GDPRが適用されない」と誤解している日本企業が続出している模様だ。
「十分性認定」でGDPR適用除外は大きな誤解?
個人情報保護の強化を目的とした「一般データ保護規則(GDPR:General Data Protection Regulation)」が、2018年5月25日にEUで施行された。GDPRはEU域内の個人情報の取り扱いを規制する法律だが、EUからEU域外に移転する個人情報についても規制しているため、日本に移転される個人情報についても規制が課せれる。
違反すると、最大2000万ユーロの制裁金が課される可能性もあり、日本企業も対応に追われている。
そうしたなか、安倍晋三首相と欧州委員会のユンカー委員長などが2018年7月17日に東京で首脳協議を行い、個人データの越境移転に関し、日欧当局間で相互に認定することで一致。2018年秋までに、日欧間の相互の円滑な個人データ移転の枠組みを実現するための手続を完了することで合意した。 (外務省公表:https://www.mofa.go.jp/mofaj/erp/ep/page1_000601.html" target="_blank">)。
そのため、欧州委員会は2018年秋までに「十分性認定」を行い、日本企業におけるGDPRの一部の規定の適用が免除されることが確実になった。
こうした報道を受けて、一部の日本企業では2018年秋以降にGDPR対応をする必要がないと判断したところも出てきたもよう。
ただ、これは「GDPRが日本に適用されなくなる」という誤解に基づくもので、ある都内の弁護士も「『十分性認定が出たら、GDPR対応する必要がないのではないか』という企業が多くて驚いている」と漏らす。