インターネットイニシアティブ(IIJ)は9月13日、ドイツのノルトライン-ヴェストファーレン州のプライバシー保護監督機関LDI NRWから、同社グループの個人データ保護方針「拘束的企業準則」の承認を取得したと発表した。欧州経済領域(EEA)の個人データをEEA域外で適法に流通させることが可能になった。
同社は、EEAの一般データ保護規則(GDPR)への順守を図り、拘束的企業準則については欧州委員会傘下の欧州データ保護会議(EDPB)での精査を受け、8月5日にLDI NRWが承認した。GDPR施行後におけるクラウド事業者の拘束的企業準則の承認取得は世界初という。
GDPRでは、EEA域内およびEEA域外に所在してもEEA域内の個人データを伴う事業活動を行う企業に個人データの保護などを義務付けている。違反事業者には2000万ユーロか、全世界年間売上の4%以下どちらかを上限とする制裁金が課せられることがある。日本を除くEEA域外の第三国への個人データの移転とEEA域内での個人データ処理を外注する場合、GDPR順守事業者の使用も義務付けられている。
IIJグループは、今回の承認取得によりGDPRを順守する事業者として認定されたことになり、欧州で事業活動する企業は、IIJグループに業務を外注することで、GDPRへの抵触を心配せずにEEA域外へ個人データを移転したり第三国へ再移転したりできるとアピールしている。
また、欧州当局に行う外注先事業者のGDPR順守の証明での負荷が軽減され、個人情報保護法で求められる個人情報取扱事業者の義務を継続的に履行する基準適合体制を同社が備えていることを説明できるとしている。