EU域内からの個人情報の移転について厳格なルールが定められたEU一般データ保護規則(GeneralDataProtectionRegulation=GDPR)の適用が今年5月25日に始まります。
GDPRにおいては、プライバシー保護がこれまでのEUデータ保護指令よりも一層強化されており、明確な同意の取得や忘れられる権利の導入、違反に対する厳格な金銭的な制裁がなされます。
GDPRはEU域内に事業所を設置している場合のほか、EU域内の個人に商品やサービスの提供を行っている場合やEU域内の個人情報を取得する場合にも適用され、自社の従業員に関する情報もこれにあたるとされています。
個人情報保護法との関係は?
わが国の個人情報保護委員会は、日本とEU間の個人データの移転について、相互の円滑な移転を図る枠組みの構築を視野に、欧州委員会との間で対話を重ね、「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」について審議を行ってきましたが、このほど、EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドライン案を示しました。
今年前半に施行予定
ガイドライン案は、個人情報保護委員会と欧州委員会との対話の結果、
- 個人情報保護委員会が、個人情報保護法第24条に基づき、個人の権利利益を保護する上でわが国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国としてEUを指定し、
これにあわせて、
- 欧州委員会が、一般データ保護規則(GDPR)第45条に基づき、日本が個人データについて十分な保護水準を確保していると決定することを想定したもので、
1.要配慮個人情報
2.保有個人データの定義や、
3.利用目的の特定、利用目的による制限、
4.外国にある第三者への提供の制限、
5.匿名加工情報、
などの取扱いに関するルールが示されています。
ガイドライン案に対する意見の公募は5月25日に締め切られ、今年前半の施行が予定されています。
「個人情報の保護に関する法律についてのガイドライン」(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)】
http://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000173547