個人情報保護委員会は5月31日、都内で欧州委員会と会合を開き、「一般データ保護規則(GDPR)」に基づく個人データの域外移転について日本の「十分性認定」を行う方向で協議することに合意したと発表した。
GDPRは5月25日に施行され、欧州経済地域(EAA)在住者の個人データの域外移転を原則として禁止している。「十分性認定」は個人データの域外移転を可能にするもので、欧州委員会がGDPR第45条に基づいてデータ保護の施策がEUと同等の水準にあると評価した国や地域を認定する。現状で日本は「十分性認定」を受けていない。
今回の会合では、欧州委員会による日本の「十分性認定」に向けた協議を加速させることで合意した。個人情報保護委員会は、外国にある第三者への個人情報の提供制限について規定した個人情報保護法第24条に基づくガイドラインなどの整備を進めており、欧州委員会はこうした取り組みを中心に、日本の「十分性認定」について検討する。
2018年5月31日に都内で個人データの域外移転について日本の「十分性認定」を協議した欧州委員会のVrra Jourova委員(右)と個人情報保護委員会の熊澤春陽委員(出典:個人情報保護委員会)
日本が十分性認定を受けることで、国内の企業などはEEA圏在住者の同意をもとに個人データの利用が可能になる見通し。ただし、GDPRでは「プライバシー・バイ・デザイン」「オプトイン原則」「個人情報漏えい時の通知義務」「データ持ち運びの権利」「忘れられる権利」「罰則の強化」などへの対応を求めており、企業などがこれらに違反した場合は、最大で全世界の年間売上高の4%もしくは2000万ユーロ(高額な方を適用)が制裁金として課せられる場合がある。
EEA域外の国や地域では、企業などにおけるGDPRへの対応が十分に進んでいない状況にあり、トレンドマイクロが実施した調査では、国内企業の間でGDPRの認知度自体が低いといった結果が判明。日本が欧州から「十分性認定」を受けたとしても、実際に個人データを扱う企業などには、GDPRに基づく実効性のあるセキュリティ対策などデータ保護体制を早急に整備することが求められる。