日EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意

2018.07.17

• ニュース

１．概要
日 EU 間の個人データ移転に関しては、個人情報保護委員会と欧州委員会との間で、日 EU 間の相互の円滑な個人データ移転を図る枠組み構築の対話が終了し、最終合意。

今後、本年の秋までに当該個人データ移転の枠組みを運用可能とするために、双方において必要な国内手続を完了予定。

https://www.ppc.go.jp/news/press/2018/20180717/

２．重要なポイント

この意味するところは、過去は以下のフロチャートにより、４４条違反の恐れがあった。

１）EEA域内から域外への移転か

２）移転先が十分性の認定を受けていない（４５条）

３）保護措置（SCC,BCRその他）を実施しておらず（４６条）、４９条１項の例外事由に該当しない

４４条違反へ

ところが、今後国内手続きにより、十分性が認定されることになる（２）の段階でクリア）

日本側の国内手続きにおいては、以下の通り、個人情報保護法第 24 条に基づくＥＵの指定をすることになる。

https://www.ppc.go.jp/files/pdf/300717_eusitei.pdf

また、EU 域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインが作成されることになる。

以下のはガイドラインの方向性 

https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf

①要配慮個人情報の範囲
EU ではセンシティブデータとして扱われる「性生活」・「性的指向」・「労働組合」に関する情報が、日本では要配慮個人情報に該当しない。
 EU から移転された個人データについて、「性生活」・「性的指向」・「労働組合」に関する情報に関しては要配慮個人情報と同様の取扱いを行うこととする。

② 保有個人データの範囲
EU では保有期間にかかわらず全ての個人情報について開示・訂正・利用停止等の請求権が認められるが、日本では６か月以内に消去することとなる個人データについては開示等の請求権が認められない（請求権が認めら
れる保有個人データではない）。
 EU から移転された個人データについて、６か月以内に消去することとなる個人データについても保有個人データとして扱うこととする。

③ 利用目的の特定
EU 側は、EU では第三者から提供を受けた個人情報の利用目的は、取得時に特定された利用目的の範囲に制限されるのに対し、我が国の個人情報保護法にこれを直接規定する条項がないことから明確化を求めている。
 EU から移転された個人データについて、確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする。

④ 日本から外国への個人データの再移転
EU 側は、日本から EU 以外の外国への個人データの再移転について、保護レベルが確保されるよう明確化を求めている。
 EU から移転された個人データについて、本人同意に基づき再移転する場合は、本人が同意するために必要な移転先の状況についての情報を提供し、提供先の体制整備をもって再移転する場合は、契約等により、個人情報保護法と同水準の保護措置を実施することとする。

⑤ 匿名加工情報
EU では、加工方法に関する情報が残存している場合、安全に分離保管されていても再識別の可能性があるとして匿名化とはみなされない。
 EU から移転された個人データについて、個人情報保護法上の匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとすることとする。

このあたりが、ガイドラインの骨子になるので留意されたい。

３．十分性の認定があれば良いのか

EEA域内と日本との関係に限定され、データが他の国に移転されると、その移転の部分はカバーされない。

その他の記事はブログをご覧ください。 

ご相談はこちらから