編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
対応を迫られるGDPR

GDPR施行へのカウントダウン--対応を迫られるGDPR(2)

大場 敏行 (デロイト トーマツ サイバーセキュリティ先端研究所)

2017-07-11 07:00

 第1回は、EUの一般データ保護規則(GDPR)について概要を紹介しました。さまざまな規定がある中、GDPRでは、個人データをEUの外に移転させること(域外移転)に関し一定の制約が設けられています。本稿では、域外移転に関する制約と、移転のための対応について概説します。

域外移転に関する制約

 GDPRでは、EU内に所在する者の個人データを域外に移転することは原則禁じられています。まず注意が必要なのは、ここで言う「移転」とは、多くの専門家の間で、「個人データを域外のサーバへ格納することだけでなく、域外の第三者が域内の個人データを参照することも含まれる」と考えられている点です。

 つまり、ネットワーク越しに域内のサーバに域外からアクセスして、そのサーバに格納された個人データを参照することは、原則禁じられている、と考えられます。

 そのように「移転」を捉えたとき、域外に個人データが移転できない、という原則はとても厳しい制約であると言えるでしょう。

 では、そのような個人データの「移転」が一切域外にできないことになっているのか、というと必ずしもそうではありません。次の場合については、そうした域外移転が認められることになっています。

(1)十分性の判定による移転
(2)十分性の判定がない状態での移転

図表1. 域外移転が認められるケース

(1)十分性の判定による移転 「十分性の判定」とは、域外の国または地域に関し、個人データの保護が十分な水準にあると欧州委員会が判定することを指しており、そのような判定がなされたところに対しては移転できる、というものです。2017年6月末現在、十分性の判定が得られた国・地域としては、アンドラ、アルゼンチン、カナダ(民間部門のみ)、フェロー諸島、ガーンジー島、イスラエル、マン島、ジャージー島、ニュージーランド、スイス、ウルグアイとEU-USプライバシーシールドとされており、日本はその中に含まれていない状況です。
(2)十分性の判定がない状態での移転 十分性の判定が得られていない国・地域に個人データを移転するには、明確な同意の取得、拘束的企業準則(Binding Corporate Rules:BCR)、標準データ保護約款(Standard Data Protection Clause:SDPC)、行動準則(Codes of Conduct)または認証(Certification)といった手段が規定されています。なお、契約の履行のために必要な場合や重要な公共の利益のために必要な場合などに移転が特別に認められることも挙げられていますが、これらが適用されるケースは限定されているようです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]