Legal Note

リーガルノート

2020.09.11

2019-3-1 GDPR(EU一般データ保護規則)に関するアップデート② ~十分性認定/ブレグジット~

M&P Legal Note 2019 No.3-1

GDPR(EU一般データ保護規則)に関するアップデート②
~十分性認定/ブレグジット~

2019年4月17日
松田綜合法律事務所
弁護士 加藤奈緒

PDFダウンロード

第1 はじめに

前回のニュースレター(『GDPR(EU一般データ保護規則)に関するアップデート①』2019 No.1-1)にて言及した、欧州委員会によるGDPRの越境移転規制に関する日本の十分性認定が、2019年1月23日付で発効しました。また、同日付で、個人情報保護委員会が、個人情報保護法24条(外国にある第三者への提供)に基づく指定をEU(EU加盟国に加えて、アイスランド、ノルウェー、リヒテンシュタインを含みます。以下同じ)に対して行い、日欧間の相互認証に至りました。

本稿では、主に日本に所在する企業の観点から、十分性認定の意義及び留意点につき解説いたします。

また、本稿作成時点で未だ先行き不透明な英国のEU離脱(ブレグジット)に関し、現時点で想定されるGDPR等の個人情報保護法制関連での影響について概要をご説明します。

第2 EU→日本への越境移転

1 十分性認定の意義と留意点

欧州委員会による日本の十分性認定に伴い、GDPR45条に基づき、EUから日本への個人データの越境移転は特段の措置を講ずることなく可能となりました。これまでEU域内から日本に個人データを移転させるために、データ移転元との間で標準契約条項(SCC)を締結する等して対応してきた企業が多いかと思いますが、十分性認定後はかかる措置が不要となります。

ただし、十分性認定に基づいてEU域内から移転を受けた個人データについては、日本の個人情報保護法に加えて、個人情報保護委員会が策定した「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(補完的ルール)に従って取り扱う必要があります。補完的ルールについては、下記2で説明いたします。

 

ここでの留意点として、

  • 十分性認定はあくまでEU域内から日本への個人データの「移転」を許容する措置であって、個人データの「処理」についてGDPRが直接適用される場合は、依然としてGDPR上の義務を遵守する必要がある
  • 十分性認定後も、十分性認定によらずにSCCやGDPR47条に基づく拘束的企業準則(BCR)等の手法によりEUから日本に対し個人データを移転することは可能である。補完的ルールはあくまで十分性認定に基づいてEU域内から日本に移転された個人データの取扱いについて規律するものであり、十分性認定に基づかずに(例えば、SCCに基づいて)移転された個人データの取扱いには適用されない(補完的ルールに関する意見募集結果45~55)

ことが挙げられます。

 

2 補完的ルールの概要

 補完的ルールは、日本の十分性認定にあたり、日欧の個人情報保護制度の相違点を埋め、より高い水準の保護を確保するために策定されたルールであり、通常のガイドラインと異なり法的拘束力を有するとされています(名称についても、意見募集時の「ガイドライン(案)」から、「補完的ルール」に変更されました)。個人情報取扱事業者が本ルールに定める義務を遵守しない場合、個人情報保護委員会は、個人情報保護法42条に基づく勧告・命令を行う権限を有するとされております。

もっとも、法改正を経ることなく、個人情報保護法よりも厳しい規制に法的拘束力を持たせることについては、その根拠に疑問も呈されています(意見募集結果No.26等)。

補完的ルールの概要は以下のとおりです。

  • 要配慮個人情報の範囲

EU域内から移転を受けた個人データのうち、「性生活」「性的指向」「労働組合」に関する情報が含まれる場合には、当該情報は個人情報保護法上の「要配慮個人情報」(法3条2項)と同様に取り扱うとされています。

これは、上記に関する情報はGDPR上、厳格な取扱いが要求されるセンシティブデータとして位置づけられている一方で、個人情報保護法上の「要配慮個人情報」には含まれていないため、その差異を埋める目的の規定になります。

この結果、十分性認定に基づき移転された性生活、性的指向、労働組合に関する情報については、取得についての同意(法17条2項)や、オプトアウトによる第三者提供の禁止(法23条2項)といった、要配慮個人情報に関する個人情報保護法の規制に服することになります。

  • 保有個人データの範囲

EU域内から十分性認定に基づき移転を受けた個人データについては、消去しようとする期間にかかわらず、法2条7項の「保有個人データ」に該当するとされています。

個人情報保護法上、個人データのうち6ヶ月以内に消去することとなるものについては保有個人データから除かれるのに対し、GDPR上は保存期間に基づく除外規定がないことから、その差異を埋める目的の規定になります。

  • 利用目的の特定、利用目的による制限

EU域内から十分性認定に基づき個人データの提供を受ける場合、法26条1項及び3項(第三者提供を受ける際の確認、記録)に基づき、提供を受ける際に特定された利用目的を含め、取得の経緯を確認し記録すること、また、特定された利用目的の範囲内でのみ個人データを利用すべきことが規定されています。

GDPR上、第三者から提供を受けた個人データの利用目的は、取得時に特定された利用目的の範囲に制限されるのに対し、個人情報保護法上はこれを直接規定する条項がないことから、明確化した規定になります。

  • 外国にある第三者への提供の制限

個人情報取扱事業者が、EU域内から十分性認定に基づき提供を受けた個人データを、さらに外国にある第三者に提供する場合の取扱いについて定めています。具体的には、外国にある第三者への提供は、法24条に従い、以下のいずれかの場合に制限されるとしています。

  • 移転先の状況についての情報を提供した上で、あらかじめ本人の同意を得る場合
  • 第三者が日本において十分性認定を行った国にある場合
  • 個人データの提供を受ける第三者との間で、個人データの取扱いにつき適切かつ合理的な方法(契約、その他の形式の拘束力ある取決めまたは企業グループにおける拘束力のある取扱い)により、補完的ルールを含め法と同等の個人情報保護措置を連携して実施している場合
  • 法23条1項各号に該当する場合
  • 匿名加工情報

EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が加工方法等情報を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法2条9項に定める匿名加工情報とするとされております。

個人情報保護法上は、匿名加工情報を作成したときは加工方法等情報の漏洩を防止するために必要な措置を講じなければならないとされております。他方で、GDPRにおける匿名化データと認められるためには不可逆的に特定個人の識別を防止する処理が求められていることから、十分性認定に基づき移転された個人データを匿名加工情報とするには、加工方法等情報の削除により再識別不可能とすることを求める規定になります。

3 日本から第三国への再移転 

EU域内から十分性認定に基づき日本に移転された個人データを第三国に再移転する場合、かかる外国への再移転については補完的ルール(上記2④)に従って行う必要がある一方で、GDPR上の越境移転規制に対応する必要はないとされています(意見募集結果No.132等)。

他方、移転を受けた個人データの処理に関して日本企業がGDPRの直接適用を受ける場合に、第三国への再移転につきGDPR上の越境移転規制の適用があるかという点は明確には示されておりませんが、適用があるという前提で対応を行うことが安全と思われます。

第3 日本→EUへの越境移転

冒頭に述べたとおり、欧州委員会による日本の十分性認定と同日に、個人情報保護委員会も、EUを個人情報保護法24条の「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」に指定しました。これにより、日本からEUへの個人データの越境移転については、法24条に基づく本人の同意その他の措置を取ることになく可能となりました。もっとも、法23条に基づく第三者提供に関する要件(本人の同意等)は依然として適用される点にご留意下さい。

第4 ブレグジットと個人情報保護法制

1 GDPRとの関係

本稿作成時点において、英国のEU離脱(ブレグジット)については2019年10月末までの離脱期限の再延長が決定され、離脱協定案の合意のない「合意なき離脱」はひとまずは回避されましたが、未だ先行き不透明な状況になっています。

ブレグジットとGDPRに基づく個人データ移転との関係について、欧州データ保護会議(EDPB)の2019年2月12日付通知によると、合意なき離脱の場合、英国が十分性認定を得られるまで英国はEUにとって「第三国」となり、EUから英国への個人データの移転には、標準契約条項(SCC)や拘束的企業準則(BCR)、本人の同意といった、GDPR上の越境移転規制の例外措置を取る必要があるとされています。

したがって、仮に合意なき離脱となった場合、例えば日本企業のEU子会社から英国にデータを移転するにあたり、これまで不要であった上記の措置が新たに必要となる可能性があるため、引き続き動向については注視する必要があります。

他方、英国からEUへのデータ移転については、離脱後も新たな措置を講ずることなく、これまでどおり自由に行えるとされています。なお、英国の離脱に際し、GDPRは即日英国の国内法に組み込まれることが想定されています。

その他、離脱形態にかかわらず、GDPRの観点から日本企業に影響が及びうる点の一つとして、GDPRの域外適用があり、欧州代理人(GDPR27条)を既に英国内において選任している企業については、ブレグジットに伴い、他のEU加盟国に代理人を選任し直す必要がある可能性が高いことが挙げられます。

2 個人情報保護法との関係

ブレグジット後の日英間のデータ移転については、離脱後も、日本・EU間の相互認証に基づくデータ移転と同様の効果が維持されることが想定されています。

英国議会は、日本を含むEUによる十分性認定を離脱後も維持する法案を2019年2月20日付で可決しております。したがって、英国から日本へのデータ移転は、離脱後もEUから日本へのデータ移転と同様、特別な措置を講ずることなく可能となる予定です。

これを受けて、個人情報保護委員会も、法24条に基づく指定を離脱後も英国に対して継続する旨を2019年3月29日付で告示しており(平成31年個人情報保護委員会告示第5号)、日本から英国へのデータ移転は、離脱後も日本からEUへのデータ移転と同様の枠組みで行えることが想定されています。

合わせて同告示において、上記第2で述べたEUによる十分性認定に関する補完的ルールについては、ブレグジット後、英国から日本に移転される個人データにも適用されることが規定されております。なお、同告示については、英国のEU離脱日から施行される予定です。

 

 


この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。

松田綜合法律事務所
弁護士 加藤 奈緒
nao.kato@jmatsuda-law.com

〒100-0004 東京都千代田区大手町二丁目1番1号 大手町野村ビル10階
電話:03-3272-0101 FAX:03-3272-0102

この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。