「十分性認定」は一部の手続が免除されるだけ
GDPRでは、EUからEU域外に個人情報を移転することを原則として禁止している。そのため、EU域外の企業などが、EUから個人情報を取得するためには、所定の契約を締結したり、個人情報の本人からの明示の同意を取得したりするなど、GDPRに規定された手続きをとる必要がある。
たとえば、海外に支店があり、海外の支店の従業員の情報が日本の本店に移転する場合でも、所定の契約書を締結したり、個人情報の本人の同意を書面などで取得したりする必要が出てくる。
こうしたGDPR所定の手続きから一部解放されるのが欧州委員会の「十分性認定」だ。「十分性認定」は、十分な個人情報の保護水準が保障されていることを認定するもので、EUからEU域外に個人情報を移転する規制が一部免除される。
もっとも、「十分性認定」を日本が受けたとしても、手続が一部免除されるだけで、GDPRが適用されるかどうかとは別問題だ。
「十分性認定は、所定の契約書を作成したりすることから開放されるだけで、GDPR対応している企業の負担が一部軽減されるだけの話だ。GDPRの適用を受けなくなるというのは大きな誤解だ」(前出の弁護士)
たとえば、データ主体から同意を得ないで個人データを取り扱ったり、その同意を証明できなかったりした場合などは、最悪2000万ユーロの制裁金が課される可能性はある。