ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

日本→EEAへの個人データ提供可

EEA→日本への個人データ提供は、日本が十分性認定を取得しているので、GDPR上問題ない。

日本→EEAについても、日本が適切と認めているので、日本の個人情報保護法上問題ない。

 

EEAなのかEUなのかがいまいちよくわかりません。

個人情報保護法ガイドラインには「EU」と書いてあります。

https://www.ppc.go.jp/files/pdf/190123_guidelines02.pdf

個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国は、EU が該当する。ここでいう EU とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成 31 年個人情報保護委員会告示第1号)に定める国を指す。
なお、EU の指定は、日 EU 間で相互の円滑な個人データ移転を図るために、欧州委員会による日本への十分性認定(GDPR(※)第 45 条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定をいう。)に併せて行ったものである。
(※)個人データの取扱いに係る自然人の保護及び当該データの自由な移転並びに指令95/46/EC の廃止に関する欧州議会及び欧州理事会規則(一般データ保護規則)(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protectionof natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation))

しかし、同告示1号を見ると、ノルウェーリヒテンシュタインアイスランドも入っているので、「EEA」だと思われます。

っていうか、お互いに認定しているから、EEA→日本はOKで、日本→EEA(EU除く)はダメとはできないですよね。ガイドラインで「EEA」って書いていないのには、きっと行政上のなんか理由があるんでしょうね。

https://www.ppc.go.jp/files/pdf/190123_h31iinkaikokuji01.pdf

次に掲げる平成三十一年一月二十三日時点における欧州経済領域協定に規定された国
アイスランドアイルランド、イタリア、英国、エストニアオーストリア、オランダ、キプロスギリシャクロアチアスウェーデン、スペイン、スロバキアスロベニアチェコデンマーク、ドイツ、ノルウェーハンガリーフィンランド、フランス、ブルガリア、ベルギー、ポーランドポルトガル、マルタ、ラトビアリトアニアリヒテンシュタインルーマニア及びルクセンブルク

 

十分性認定あるからよかった!って一見思われますが、そうはいっても、EEAデータを日本から第三国に移転するとかすると、SCCかBCRとかってなったりして、意外と、企業実務上は大変だったりする気がしていますが、グローバルな個人データ移転がある企業はみなさんどうしてるんでしょうか…。意外と、SCC漏れとかってある気がしてしまいますが、どうなんでしょうか。

 

ちなみに、いま個人情報保護法24条改正の資料作成をしていて、その前提として、規則で認められた国をまとめているところです(笑)