欧州連合(EU)と日本の個人情報保護委員会(PPC)は1月23日、2018年7月に合意したEUと日本との安全な個人データの相互移転に関する枠組みが正式発効したと発表した。これにより、「データが安全かつ円滑に流通する世界最大の地域が創出される」(PPC)とし、企業では欧州における個人データ管理業務の効率化や新たなビジネスモデルの創出などが期待されるとしている。
この合意では、個人情報保護委員会が個人情報保護法に基づいてEUを指定し、EUでも欧州委員会がGDPR(一般データ保護規則)に基づく十分性認定を日本に対して行う。「十分性認定」は個人データの域外移転を可能にするもので、欧州委員会がGDPR第45条に基づいてデータ保護の施策がEUと同等の水準にあると評価した国や地域を認定する。
日本側が指定した欧州地域は、欧州経済領域(EAA)のアイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア、ルクセンブルクとなる。各地に拠点を持つ日本企業は、「GDPRに基づく規律に服す」(PPC)としている。
PPCは23日付で「外国にある第三者への提供」に関するガイドラインを改訂し、今回の枠組みに基づく内容を追加、修正している。
