個人情報保護における、GDPR(EUの一般データ保護規則)に違反すると最大2000万ユーロの制裁金が課されることを恐れて、世界中の企業で対応が進められている。
そんななか、日本は欧州委員会から個人データの移転に関する「十分性認定」を2018年秋までに受けることが確実になった。
ただ、「十分性認定」が認められることによって、「GDPRが適用されない」と誤解している日本企業が続出している模様だ。
-
情報漏えい…… 「十分性認定」でも、企業はホッとはできない!?
「十分性認定」でGDPR適用除外は大きな誤解?
個人情報保護の強化を目的とした「一般データ保護規則(GDPR:General Data Protection Regulation)」が、2018年5月25日にEUで施行された。GDPRはEU域内の個人情報の取り扱いを規制する法律だが、EUからEU域外に移転する個人情報についても規制しているため、日本に移転される個人情報についても規制が課せれる。
違反すると、最大2000万ユーロの制裁金が課される可能性もあり、日本企業も対応に追われている。
そうしたなか、安倍晋三首相と欧州委員会のユンカー委員長などが2018年7月17日に東京で首脳協議を行い、個人データの越境移転に関し、日欧当局間で相互に認定することで一致。2018年秋までに、日欧間の相互の円滑な個人データ移転の枠組みを実現するための手続を完了することで合意した。 (外務省公表:https://www.mofa.go.jp/mofaj/erp/ep/page1_000601.html" target="_blank">)。
そのため、欧州委員会は2018年秋までに「十分性認定」を行い、日本企業におけるGDPRの一部の規定の適用が免除されることが確実になった。
こうした報道を受けて、一部の日本企業では2018年秋以降にGDPR対応をする必要がないと判断したところも出てきたもよう。
ただ、これは「GDPRが日本に適用されなくなる」という誤解に基づくもので、ある都内の弁護士も「『十分性認定が出たら、GDPR対応する必要がないのではないか』という企業が多くて驚いている」と漏らす。
「十分性認定」は一部の手続が免除されるだけ
GDPRでは、EUからEU域外に個人情報を移転することを原則として禁止している。そのため、EU域外の企業などが、EUから個人情報を取得するためには、所定の契約を締結したり、個人情報の本人からの明示の同意を取得したりするなど、GDPRに規定された手続きをとる必要がある。
たとえば、海外に支店があり、海外の支店の従業員の情報が日本の本店に移転する場合でも、所定の契約書を締結したり、個人情報の本人の同意を書面などで取得したりする必要が出てくる。
こうしたGDPR所定の手続きから一部解放されるのが欧州委員会の「十分性認定」だ。「十分性認定」は、十分な個人情報の保護水準が保障されていることを認定するもので、EUからEU域外に個人情報を移転する規制が一部免除される。
もっとも、「十分性認定」を日本が受けたとしても、手続が一部免除されるだけで、GDPRが適用されるかどうかとは別問題だ。
「十分性認定は、所定の契約書を作成したりすることから開放されるだけで、GDPR対応している企業の負担が一部軽減されるだけの話だ。GDPRの適用を受けなくなるというのは大きな誤解だ」(前出の弁護士)
たとえば、データ主体から同意を得ないで個人データを取り扱ったり、その同意を証明できなかったりした場合などは、最悪2000万ユーロの制裁金が課される可能性はある。