編集部からのお知らせ
記事まとめ集:コロナ禍に小売業はどう対応?
テレワーク関連記事一覧はこちら

EU、GDPRに基づく個人データの域外移転で日本の「十分性認定」を検討へ

ZDNet Japan Staff

2018-05-31 19:42

 個人情報保護委員会は5月31日、都内で欧州委員会と会合を開き、「一般データ保護規則(GDPR)」に基づく個人データの域外移転について日本の「十分性認定」を行う方向で協議することに合意したと発表した。

 GDPRは5月25日に施行され、欧州経済地域(EAA)在住者の個人データの域外移転を原則として禁止している。「十分性認定」は個人データの域外移転を可能にするもので、欧州委員会がGDPR第45条に基づいてデータ保護の施策がEUと同等の水準にあると評価した国や地域を認定する。現状で日本は「十分性認定」を受けていない。

 今回の会合では、欧州委員会による日本の「十分性認定」に向けた協議を加速させることで合意した。個人情報保護委員会は、外国にある第三者への個人情報の提供制限について規定した個人情報保護法第24条に基づくガイドラインなどの整備を進めており、欧州委員会はこうした取り組みを中心に、日本の「十分性認定」について検討する。

2018年5月31日に都内で個人データの域外移転について日本の「十分性認定」を協議した欧州委員会のVrra Jourova委員(右)と個人情報保護委員会の熊澤春陽委員(出典:個人情報保護委員会)
2018年5月31日に都内で個人データの域外移転について日本の「十分性認定」を協議した欧州委員会のVrra Jourova委員(右)と個人情報保護委員会の熊澤春陽委員(出典:個人情報保護委員会)

 日本が十分性認定を受けることで、国内の企業などはEEA圏在住者の同意をもとに個人データの利用が可能になる見通し。ただし、GDPRでは「プライバシー・バイ・デザイン」「オプトイン原則」「個人情報漏えい時の通知義務」「データ持ち運びの権利」「忘れられる権利」「罰則の強化」などへの対応を求めており、企業などがこれらに違反した場合は、最大で全世界の年間売上高の4%もしくは2000万ユーロ(高額な方を適用)が制裁金として課せられる場合がある。

 EEA域外の国や地域では、企業などにおけるGDPRへの対応が十分に進んでいない状況にあり、トレンドマイクロが実施した調査では、国内企業の間でGDPRの認知度自体が低いといった結果が判明。日本が欧州から「十分性認定」を受けたとしても、実際に個人データを扱う企業などには、GDPRに基づく実効性のあるセキュリティ対策などデータ保護体制を早急に整備することが求められる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]