2019年7月24日(水)

EU個人データ、域外移転の禁止 日本は例外に
年末までに正式承認へ

2018/9/6 18:27
保存
共有
印刷
その他

【ブリュッセル=森本学】欧州連合(EU)の欧州委員会は5日、EU域内の個人データの域外持ち出しを例外的に認める移転先として、日本を承認する手続きに入った。年末までに正式承認される見通し。EUは5月に域外への個人データの持ち出しを原則禁止する一般データ保護規則(GDPR)を施行。違反した場合は高額の制裁金を科す仕組みを導入していた。データ持ち出しをEUが認めれば、日本企業は制裁リスクや事務負担の軽減を期待できる。

「データが安全に移転される世界最大のエリアが形成されることになる」。欧州委で個人情報保護を担うヨウロバー欧州委員は5日の記者会見で力を込めた。今後、EU加盟国のデータ保護機関の代表らでつくる「欧州データ保護会議」の意見聴取、加盟国政府や欧州議会との協議を経て、日本へのデータ移転の正式承認を「年末までに終えたい」と語った。

EUは5月に施行したGDPRで、EUにノルウェーなどを加えた欧州経済地域(EEA)の域外に個人データを持ち出すことを原則禁止。適切な対応を怠り、違法だと判断されれば、最大2000万ユーロ(約26億円)か世界での年間総売上高の4%のいずれか高い方の制裁金を科される。日本企業や団体が制裁リスクを避けて個人データを持ち出すには、現状では個別の対応で持ち出し禁止の「例外措置」を取得しなければならない。

ただEUには、データ移転先の国・地域の個人データ保護の水準が「EU並みだ」と判断した場合は、域外持ち出しを例外的に認める「十分性認定」という仕組みがある。これまで認定されたのはスイスなど約10カ国・地域だけだったが、EUは5日、日本にも認める手続きに入った。認定されれば、日本企業は円滑にEUから個人データを移転できるようになる。

日本側も個人情報保護委員会が10月にもEUを移転先として正式認定する方針で、日欧間で個人データを相互に円滑に移転できる枠組みが年内にも発動する見通しだ。

ただ「十分性認定」が認めるGDPRの例外措置は、EUから日本への個人データの「持ち出し」のみ。個人データの「処理」を巡って、日本企業は引き続きGDPRに基づく義務の履行が求められる。例えばEU域内で個人データを取得する場合には利用目的を明確に示して同意を取るなどの手続きが求められる。

さらにアジアなどで事業展開する日系企業も注意が必要だ。日本が十分性認定を受けても、EUの十分性認定を受けていない第三国・地域へのデータ持ち出しは認められないためだ。アジアなどの拠点がEU域内の従業員の個人データを入手する場合などはGDPRにのっとった厳格な対応が引き続き求められる。

保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

新しい日経電子版のお知らせ

より使いやすく、よりビジュアルに!日経電子版はデザインやページ構成を全面的に見直します。まず新たなトップページをご覧いただけます。

※もとの電子版にもすぐ戻れます。