トピックス

2017.07.10
NEWS

【EU一般データ保護規則/個人情報保護法】日EU間の相互の円滑な個人データ移転について(平成29年7月4日個人情報保護委員会)

【執筆:渡邉雅之

平成29年7月4日に個人情報保護委員会が『日EU間の相互の円滑な個人データ移転について』(平成29年7月4日個人情報保護委員会決定)を公表いたしました(下記参照)。

個人情報保護委員会は、昨年来、個人情報保護法を前提として、日EU間の相互の円滑な個人データ移転を図る枠組み構築を視野に、欧州委員会司法総局と累次の対話を重ねてきており、相互の制度に関する理解は相当程度進んできた。
本年7月3日には、熊澤個人情報保護委員会委員はヨウロバー欧州委員と会談を実施し、日EU間の相互の円滑な個人データ移転を図る枠組み構築の具体的方策等について確認したところである。
この会談を踏まえ、個人情報保護委員会としては、今後、欧州委員会の日本に対する十分性認定に係る作業の進捗に併せて、来年前半を目標に個人情報保護法第24条に基づくEU加盟国の指定を行う可能性を視野に、本年6月16日に個人情報保護委員会において決定した「個人情報保護法第24条に係る委員会規則の方向性について」に基づき、今後委員会規則の改正手続を進めていくこととする。
また、EU加盟国については、EUの個人情報保護制度のみならず、その制度の遵守態勢、執行態勢並びに相互の理解、連携及び協力の可能性等について確認していく必要があることから、引き続き、情報収集・調査を行うとともにEU加盟国の各データ保護機関等との対話を引き続き精力的に行っていくこととする。

なお、上記に示された『個人情報保護法第24条に係る委員会規則の方向性』(平成29年6月16日個人情報保護委員会決定)の内容は以下のとおりです。

1.背景
個人情報保護委員会は、国境を越えた個人データの流通が増大する中、その円滑な移転を確保するための環境整備に取り組んでいるところである。その中で、日EU 間の個人データの移転については、相互の円滑な移転を図る枠組みの構築を視野に、欧州委員会司法総局との間で累次の対話を重ねてきており、互いの個人情報保護制度に関する理解が進んでいるところである。こうした状況を踏まえ、個人情報保護法第24 条における外国指定に関する委員会規則について、次のような考え方を軸に検討を進めることとする。
2.規則の方向性
委員会規則に、次の①~⑤を外国指定に当たっての判断基準として盛り込む方向で検討する。
①個人情報保護法に定める個人情報取扱事業者の義務に関する規定に相当する規定又は規範があること、また、これらを遵守する態勢が認められること。
②独立した個人情報保護機関が存在し、当該機関が必要な執行態勢を確保していること。
③我が国としてその外国を指定する必要性が認められること。
④相互の理解、連携及び協力が可能であること。
⑤個人情報の保護を図りつつ相互の円滑な移転を図る枠組みの構築が可能であること。
3.個別の外国の定め方

個別の外国については、上記の委員会規則に基づき告示において規定することを検討する。

EU一般データ保護規則(2018年5月25日の適用前はEUデータ保護指令に基づく加盟国法)により、十分性の認定が得られるのであれば、EU域内の管理者(個人情報取扱事業者に相当)から日本国内へのEU域内の個人(データ主体)の個人データの移転については、適切な安全管理措置(標準契約条項(standard contract clause)や拘束的企業準則(binding corporate rules))や本人の明確な同意なしに認められることになります。

他方、個人情報保護法24条に基づく「個人情報保護委員会規則で定める国又は地域」としてEU加盟国が定められるのであれば、日本国内の個人情報取扱事業者がEU域内の第三者に個人データを第三者提供する場合には、同法24条の「外国にある第三者への提供の制限」は適用されず、同法23条の「第三者提供の制限」に基づき、①本人の同意(同条1項)、②法令に基づく場合等の例外(同条1項各号)、③オプトアウト(同条2項)、③委託・事業承継・共同利用(同条5項各号)が認められることになります。

なお、EU一般データ保護規則は、以下の(a)または(b)に関連して、EU 域内に拠点のない管理者または処理者によるEU 在住のデータ主体の個人データの処理に適用されます。(規則3条2項)
(a)EU 在住のデータ主体に対する商品・サービスの提供に関する処理。
*ウェブサイトにおいて、1つのEU加盟国で用いられる言語または通貨を利用して、商品・サービスの提供を行っている場合が該当する。(例:フランス語+ユーロ)
*単に管理者や処理者のウェブサイト、電子メールでアクセスできるだけでは該当しない。
(b) EU 域内で行われるデータ主体の行動の監視に関する処理。
*個人の嗜好、行動、態度を分析・予測してその人物に関する決定を下すために、個人がインターネット上で監視されているか否か。自然人のプロファイリングを構成する個人データ処理技術を利用する可能性も含まれる。

したがって、たとえば、日本国内の旅館が、EU域内所在者向けにインターネット上で、EU言語(英語・フランス語など)で宿泊サービスというサービスを提供している場合で、インターネット経由で個人データ(住所・氏名・クレジットカード番号など)を登録してもらう場合には、EU一般データ保護規則上の管理者としての義務を負い、EU域内に代理人を設置する必要があります(規則27条)(従業員250名未満の同規則上の中小・零細企業においても代理人の設置義務あり。)。

これは、日本が十分性の決定を得た場合でも変わりないことに注意する必要があります。
 

*********************

改正個人情報保護法・EU一般データ保護規則につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp