日EU間で個人データ保護水準に関する相互十分性を認定

(日本、EU)

ブリュッセル発

2019年01月24日

欧州委員会は1月23日、EUと日本が個人データに関する保護レベルについて、相互に同等と認める決定を採択したことを歓迎すると発表した。欧州委は、EU「一般データ保護規則(GDPR)」の第45条に基づいて日本に対する十分性を認定し、日本の個人情報保護委員会もEU側に同様の対応を行うことで合意した。EUと日本の間で、相互の円滑な個人データ移転を図る枠組みが発効する。欧州の情報通信技術(ICT)関連産業団体のデジタルヨーロッパは同日、日EU経済連携協定(EPA)の2月1日発効を控え、「国際的な個人データ移転のための重要なモデル」になるとし、支持を表明している。

将来的には定期的な監査を通じて保護水準を継続確認

欧州委は2018年9月以降、GDPRに基づく十分性認定の決定採択に向けて手続きに着手(2018年9月6日記事参照)しており、EU加盟国やその個人データ監督機関をまとめる欧州データ保護会議(EDPB)からの意見を聴取するなど、EU側のコンセンサスを得る対応を進めてきたという。このため、今回の相互に同等性を承認する決定の採択と同時に、その法的効力を発効させるとしている。

また、欧州委は発表の中で、「十分性認定には有効期限設定はないが、定期的な監視を行う」としている。具体的には、欧州委が日本側の個人データの保護レベルについて、今回の決定採択から2年後に最初の監査を行い、その後は少なくとも4年に1回の頻度で監査を続けるとしている。

このため、GDPRに詳しい在欧法律事務所は、「重大な個人データ漏えい事件など、日本側の保護水準に疑問が生じた場合、状況によっては将来、十分性認定が撤回されるリスクは否定できない」と指摘する。

なおEUは、アルゼンチン、カナダ、イスラエル、ニュージーランド、スイス、ウルグアイなどの国に対して、既に同様の十分性認定外部サイトへ、新しいウィンドウで開きますを行っているほか、韓国とは認定に向けた協議を続けている。

デジタルヨーロッパのセシリア・ボネフェルト=ダール事務総長は、EUと日本の両政府のこれまでの取り組みを評価するとともに、「(今回の)十分性認定と日EU・EPAが可能にする、新たなビジネス機会を活用できるかどうかは産業界側次第だ」と語っている。

(前田篤穂)

(日本、EU)

ビジネス短信 61496577e90fd3e8

ご質問・お問い合わせ

記事に関するお問い合わせ

ジェトロ海外調査企画課
E-mail:j-tanshin@jetro.go.jp

ビジネス短信の詳細検索等のご利用について

ジェトロ・メンバーズ

メンバーズ・サービスデスク(会員サービス班)
E-mail:jmember@jetro.go.jp