トピックス

2018.05.16
NEWS

【GDPR】GDPRに関する十分性認定ガイドラインに基づく個人情報取扱規程・匿名加工情報取扱規程の改訂

【執筆者 渡邉 雅之
2018年5月25日に、EUにおいてはGeneral Data Protection Regulations(GDPR:一般データ保護規則)が施行されます。
EU
域外の第三国又は国際機関が欧州委員会から十分性認定を得た場合には、個別的許可を要せず、EU域内から当該第三国又は国際機関に対して個人データの移転が認められます。日本も欧州委員会から2018年8月に十分性認定を取得する見込みですが、個人情報保護委員会の定める十分性認定ガイドラインが求める上乗せ措置を講ずる必要があります。
本トピックにおいては、GDPRの十分性認定について解説するとともに、十分性認定ガイドラインに基づく、個人情報取扱規程と匿名加工情報取扱規程の改訂例を示します。
 【モデル例】
個人情報取扱規程(GDPR対応十分性認定)
匿名加工情報取扱規程(GDPR十分性認定対応)
【改正個人情報対応規程集】
改正個人情報対応規程集

1.十分性認定
第三国又は国際機関への個人データの移転は、当該第三国、第三国域内の領域若しくは一つ若しくは複数の特定された部門、又は国際機関が保護に関して十分なレベルを保証していると欧州委員会が決定した場合(以下決定を「十分性認定」といいます。)に行うことができます。この移転は、いかなる個別的許可も要しません。(GDPR45条1項)。
データ保護レベルの十分性の評価後、欧州委員会は、実施行為により、第三国、第三国域内の領域若しくは一つ若しくは複数の特定の部門、又は国際機関がGDPR45条2項(下記2参照)の趣旨において保護に関して十分なレベルを保障していると決定することができます。(GDPR45条3項)
 
2.欧州委員会が十分性評価をする際の考慮要素
  欧州委員会は、保護レベルの十分性を評価する際に、次に掲げる要素を特に考慮しなければなりません(GDPR45条2項)。
①法の支配、人権及び基本的自由の尊重、公安、国防、国家の安全及び刑事法並びに個人データへの公的機関のアクセスに関するものを含む一般的な又は分野別の関連法令及びその履行。第三国又は国際機関への個人データの再移転に関連し、当該第三国又は国際組織によって遵守される規定及び判例法並びに効果的かつ執行力のあるデータ主体の権利を含むデータ保護規定、専門的規定及び安全対策。個人データが移転されるデータ主体のための効果的な行政上及び司法上の是正措置。(GDPR45条2項(a))
②データ保護規定遵守の保障及び執行並びに適切な執行権限に対する責任、データ主体が権利を行使する際にこれを支援する又はこれに対し助言する責任、及び、加盟国の監督機関と協働する責任を有する第三国における一つ又は複数の独立した監督機関、又は国際機関が従うべき監督機関の存在及び実効的権限行使。(GDPR45条2項(b))
③当該第三国若しくは国際組織が加入している国際的取決め。特に個人データ保護に関する法的拘束力のある慣行若しくは法律文書から又は、多国間又は地域における制度への参加から生じるその他義務。(GDPR45条2項(c))
 上記のとおり、十分性の認定を受けるためには、第三国のプライバシー法制において、「個人データの再移転に関する規律」、「効果的かつ執行力のあるデータ主体の権利を含むデータ保護規定」、「専門的規定及び安全対策」、「個人データが移転されるデータ主体のための効果的な行政上及び司法上の是正措置」などを定める必要があります。
日本政府は、日本がEUからの個人データの移転が認められる「十分性認定」を受けるためには、以下の改正をする必要があると考え、平成29年(2017年)5月30日に個人情報保護法を改正しました。
〇独立した第三者機関
⇒個人情報保護委員会の設立
〇センシティブ情報の取扱い
⇒要配慮個人情報の規律
〇小規模事業者にも個人情報保護法の適用を認めること
⇒5000人以下の個人情報を保有しない事業者も個人情報取扱事業者に
〇越境データ移転についての権限について定めること
⇒外国にある第三者への個人データの提供制限や域外適用の規定化
〇開示請求権等の適用を明確化すること
⇒裁判上の開示請求等ができることが明確化
 
3.EUデータ保護指令下での十分性認定
 EU加盟国においては、2018年5月25日にGDPRの適用が開始されるまで、プライバシー保護の枠組みとして、1995年10月24日に採択(1998年10月24日発行)された「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令」(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下「EUデータ保護指令」といいます)が適用されていました。EUデータ保護指令については、各加盟国において国内法化することが求められています。
 EUデータ保護指令25条においても、十分性認定が定められておりました。
 EUデータ保護指令に基づき十分性認定を受けた国・地域としては、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドがあります。
EUデータ保護指令に基づく十分性認定は、GDPRにおいても、欧州委員会決定によって修正、差し替え又は廃止されるまで有効であるとされています(GDPR45条9項)。
 
4.米国のPrivacy Shield
 米国とEUとの間では、2000年に、EU域内から米国に移転される個人データについてプライバシーに関するセーフハーバー原則に適合していると米国商務省が認定した米国企業に対してのみ、その情報の移転を認める「セーフハーバー協定」が結ばれていました。
 しかしながら、セーフハーバー協定は、2015年10月6日に欧州司法裁判所が当該協定を無効と判断されました。この司法判断を受けて、米国とEUは、従前のセーフハーバー協定に代わる新たな枠組みとして、2016年2月にPrivacy Shieldを締結しました。
Privacy Shieldは、モニタリングや執行に関して、EUの監督機関に対して厳格にすることを要求すると共に、米国の政府当局によるデータへのアクセスに関する規律についてはじめて書面化されたものです。
Privacy Shieldの規律の特徴は以下のとおりです。
1 民間事業者の義務の強化
  • 義務の強化および執行の厳格化
  • 透明性の強化
  • 事業者が本ルールを遵守していることを監督するメカニズムの導入
  • 遵守しない事業者への罰則・除外
  • 今後の移転に関する条件の厳格化
2 EUのデータ主体(本人)の救済手段の強化
複数の救済手段が可能とななります。
(1)会社への直接請求
会社は45日以内に請求に対して回答必要。
(2)ADR(調停)
ADRは無料で利用可能。
(3)EUのデータ保護に関する監督機関
米国の商務省、連邦商取引委員会と連携し、EU市民の未解決の申請を解決。
(4)Privacy Shield Panel
最終的な手段として、仲裁手続によることを認める。
3 明確な保護施策・透明な義務
  • はじめて、米国政府が文書により、当局による個人データへのアクセスは、明確な制限、保護施策、監査のメカニズムにしたがって行わなければならないことを保証。
  • 米国の政府当局が無差別・大量の調査をしないことを保証。
  • 事業者は、請求のあったアクセスのおおよその数を報告することが可能。
  • 独立性のあるオンブズマン制度の導入。
4 モニタリング
  • 毎年、EUと米国は協力してモニタリングを行うメカニズムを構築。
  • 法執行・国家安全保障の目的によるアクセスを含む検証。
  • 欧州委員会・米国商務省が、米国とEUのデータ保護当局の国家による調査の専門家の協力の下に行う。
  • NGOその他のステークホルダーは、米国のプライバシー法およびその影響に関するプライバシーサミットを毎年行う。
  • 欧州委員会は、毎年のモニタリングの結果を欧州議会その他の関連当局に報告。
 Privacy ShieldもEUデータ保護指令25条の十分性認定に基づく枠組みで認められたものであり、GDPRにおいても、欧州委員会決定によって修正、差し替え又は廃止されるまで有効であるということになります(GDPR45条9項)。

5.十分性認定ガイドライン
 平成30年4月30日に、個人情報保護委員会は、日本が欧州委員会からGDPRに基づく十分性認定を取得することを前提とする、「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」(以下「十分性認定ガイドライン」といいます。)を公表しました(平成30年5月25日締切り)。なお、欧州委員会からは、平成30年(2018年)8月頃に十分性認定を取得できる見込みとの報道があります。
(1)十分性認定ガイドラインの趣旨・効力
 個人情報保護委員会は、日EU間で相互の円滑な個人データ移転を図るため、法24 条に基づき、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国としてEUを指定し、これにあわせて、欧州委員会は、GDPR45条に基づき、日本が個人データについて十分な保護水準を確保していると決定しました。
これにより、日EU間で、個人の権利利益を高い水準で保護した上で相互の円滑な個人データ移転が図られることとなります。日EU双方の制度は極めて類似しているものの、いくつかの関連する相違点が存在するという事実に照らして、EU域内から十分性認定により移転を受けた個人情報について高い水準の保護を確保するために、個人情報取扱事業者によるEU域内から十分性認定により移転を受けた個人情報の適切な取扱い及び適切かつ有効な義務の履行を確保する観点から、各国政府との協力の実施等に関する法の規定(法4条、6条、8条、24条、60条及び78条、並びに規則11条)に基づき個人情報保護委員会は十分性認定ガイドラインを策定しました。
特に法6条は、個人情報に関する一層の保護を図り国際的に整合のとれた個人情報に係る制度を構築する観点から、法令で定める内容を補完し上回る、より厳格な規律を設けられるよう必要な法制上の措置その他の措置を講ずる権限を規定しています。したがって、個人情報保護委員会は、個人情報保護法を所管する機関として、法6条に従い、法2条第3項に定める要配慮個人情報及び法2条7項に定める保有個人データ(保有期間に関する定めを含む)に関する定義を含め、EU域内から十分性認定により移転を受けた個人データの取扱いについて、個人の権利利益のより高い水準の保護を規定したガイドラインを策
定することにより、より厳しい規律を策定する権限を有しています。
これに基づき、十分性認定ガイドラインは、EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束し、個人情報取扱事業者はこれを遵守する必要があります。同ガイドラインは法的拘束力を有する規律であり、本ガイドラインに基づく権利及び義務は、本ガイドラインがより厳格でより詳細な規律により補完する法の規定と同様に個人情報保護委員会の執行対象となる。本ガイドラインに定める権利及び義務に対する侵害があった場合は、本ガイドラインがより厳格でより詳細な規律により補完する法の規定と同様に、本人は裁判所からも救済を得ることができます。
個人情報保護委員会による執行に関しては、個人情報取扱事業者が本ガイドラインに定める一つ以上の義務を遵守しない場合、個人情報保護委員会は法42条に基づく措置を講ずる権限を有します。一般的に、EU域内から十分性認定により移転を受けた個人情報について、法42 条1項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくその勧告に係る措置をとらなかった場合は、法42条2項に定める「個人の権利利益の重大な侵害が切迫している」と認められます。
(2)十分性認定ガイドラインに基づく上乗せ措置
ア 要配慮個人情報(個人情報保護法2条3項)
 十分性ガイドラインでは、EU域内から十分性認定に基づき提供を受けた個人データに、GDPRにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について個人情報法2条3項における要配慮個人情報と同様に取り扱うこととされます(Q3参照)。
 要配慮個人情報は、個人情報保護法上の「要配慮個人情報」は、原則として、あらかじめ本人の同意を得ないで取得禁止(同法17条2項)ですが、利用制限はなく、第三者提供の制限はオプトアウトが禁止される(同法23条2項)点のみ他の個人データと異なります。
 この点、GDPRの「特別な種類の個人データ」の処理(GDPR9条)は、原則として禁止されるので、十分性ガイドラインの上乗せ措置は緩やかなものと言えます。
 具体的には、個人情報取扱規程などにおいて、以下のように「要配慮個人情報」の定義をすればよいと考えられます。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして【別紙で定める/法第2条第3項に定める】記述等が含まれる個人情報をいう。なお、当社が、EU域内から十分性認定に基づき提供を受けた個人データに、GDPRにおいて「特別の種類の個人データ」(Special Categories of Personal Data)と定義されている、性生活、性的指向又は労働組合に関する情報が含まれている場合には、当該情報について要配慮個人情報として取り扱うものとする。
 
イ 保有個人データ(個人情報保護法2条7項)
 個人情報保護法上、「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は6月以内に消去することとなるもの以外のものをいいます(個人情報保護法2条7項、同法施行令4条、5条)。
①当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
②当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
④当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

十分性認定ガイドラインにおいては、個人情報取扱事業者が、EU域内から十分性認定に基づき提供を受けた個人データについては、消去することとしている期間にかかわらず、個人情報保護法2条7項における保有個人データとして取り扱うこととされています。
なお、EU域内から十分性認定に基づき提供を受けた個人データであっても、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」(政令4条)は、「保有個人データ」から除かれるものとされています。
具体的には、個人情報取扱規程において、以下のように「保有個人データ」を定義すればよいと考えられます。
 「保有個人データ」とは、当社が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データであって、以下のものを除く。
①6月以内に消去することとなるもの。ただし、当社が、EU域内から十分性認定に基づき提供を受けた個人データについては、第2号から第4号に該当しない限り、消去することとしている期間にかかわらず、保有個人データとして取り扱うものとする。
②当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
③当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
④当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
⑤当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
 
ウ 利用目的の特定、利用目的による制限(個人情報保護法15 条1項・同法16条1項・同法26条1項・3項)
 個人情報取扱事業者は、個人情報保護法15条1項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならず(同法16条1項)、また、第三者から個人データの提供を受ける際は、規則で定めるところにより、当該第三者による当該個人データの取得の経緯等を確認し、記録しなければならないこととされています(個人情報保護法26条1項・3項)。
十分性認定ガイドラインにおいては、個人情報取扱事業者が、EU域内から十分性認定に基づき個人データの提供を受ける場合、個人情報保護法26条1項及び3項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとされています。十分性認定ガイドラインには規定はありませんが、十分性認定を受けていないEU域外の第三国の事業者からEU域内のデータ主体の個人データの再移転を受ける場合も同様の対応が必要になると考えられます。
同様に、個人情報取扱事業者が、EU域内から十分性認定に基づき個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、個人情報保護法26条1項及び3項の規定に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとされています。
上記のいずれの場合においても、個人情報取扱事業者は、個人情報保護法26条1項及び3項の規定に基づき確認し、記録した当該個人データを当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとされています(個人情報保護法15条1項、同法16条1項)。
個人情報取扱規程等においては、以下のような規定を置いて対応することが考えられます。
(EU域内から十分性認定に基づき移転を受けた個人データについての利用目的の特定・制限)
第A条 当社は、第B条第2項又は第3項に基づき提供を受けた個人データについては、法第26条第1項及び第3項の規定に基づき確認し、記録した当該個人データを当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用するものとする。
 
(第三者提供を受ける際の確認及び記録)
第B 当社は、第三者から個人データの提供を受けるに際しては、法第26条に基づき、確認並びに記録の作成及び保存をするものとする。
2 当社が、EU域内から十分性認定に基づき個人データの提供を受ける場合、法第26条第1項及び第3項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
3 当社が、EU域内から十分性認定に基づき個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合は、法第26条第1項及び第3項の規定に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
 なお、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(以下「GL(確認記録義務編)」といいます。)では、以下のとおり、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」(GL(確認記録義務編)2-2-1)および「解釈により受領者に確認・記録義務が適用されない場合」(GL(確認記録義務編)2-2-2)が定められており、実際には、第三者提供時・受領時に個人情報保護法26条に基づく確認・記録義務がある場合は実際にはほとんどありません。
 EU域内のデータ主体の個人データの越境移転の場合に、これらの解釈上の確認・記録義務の適用除外が認められるかについては、個人情報保護委員会の判断が待たれます。
 
〇解釈により提供者及び受領者に確認・記録義務が適用されない場合(GL(確認記録義務編)2-2-1)
 GL(確認記録義務編)において、以下のとおり、実質的に「第三者提供」ではないと評価できる場合は、確認・記録義務はないと定められています。
 
場合 事例
本人による提供と整理できる場合 個人情報取扱事業者がSNS等を通じて本人に係る個人データを取得したときでも、SNS等の運営事業者及び取得した個人情報取扱事業者の双方において、確認・記録義務は適用されない。
本人に代わって提供する場合 事例1)本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合
事例2)事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
事例3)事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合
事例4)本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
事例5)保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に提供する場合
事例6)取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合
事例7)事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
事例8)本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
本人と一体と評価できる関係にある者に提供する場合 金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況等を説明する場合
提供者が、最終的に本人に提供することを意図した上で、受領者を介在して第三者提供を行う場合 振込依頼人の法人が、受取人の個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行の振込先の口座に振り込む場合
不特定多数の者が取得できる公開情報
*特定の者のみアクセスできる情報、提供者の業務上取得し得た非公開の情報などについては、ここでの整理は当てはまらない。
ホームページ等で公表されている情報、報道機関により報道されている情報。
*当初に、個人データを公開に供する行為については、提供者として記録を作成しなければならない(規則13条1項1号ロ括弧。
*いわゆる公開情報であっても、「個人情報」(法2条1項)に該当するため、法第4章第1節のうち、確認・記録義務以外の規定は適用される。
 
〇解釈により受領者に確認・記録義務が適用されない場合(GL(確認記録義務編)2-2-2)
 保護法26条は、「個人データ」の提供を受ける際に適用される義務であるところ、「個人情報」には該当するが「個人データ」には該当しない情報の場合、又は、そもそも「個人情報」に該当しない情報の提供を受けた場合は、同条の義務は適用されません。
 
場合 事例
受領者にとって「個人データ」に該当しない場合
*受領者を基準に判断されるため、提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、同条の確認・記録義務は適用されない。
*提供を受ける時点において、個人データに該当する場合には、確認・記録義務が適用される。
個人情報取扱事業者の営業担当者が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の個人情報取扱事業者の営業担当者に渡す場合
受領者にとって「個人情報」に該当しない場合 〇提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合
〇提供者で管理しているID番号のみが付された個人データの提供を受けた場合
〇単に閲覧をする行為の場合
〇一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないとき
 
エ 外国にある第三者への提供の制限(個人情報保護法24条・規則11条の2
十分性認定ガイドラインにおいては、個人情報取扱事業者は、EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、法第24 条に従い、次の①から③までのいずれかに該当する場合を除き、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得ることとされています。
① 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合
② 個人情報取扱事業者と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、本ガイドラインを含め法と同等水準の個人情報の保護に関する措置を連携して実施している場合
③ 法第23 条第1 項各号に該当する場合
 
個人情報取扱規程等においては、以下のような規定を置いて対応することが考えられます。
(外国にある第三者への提供の制限)
第28 前条にかかわらず、当社が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当する者を除く。)に個人データを提供する場合は、次の①から③までのいずれかに該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。次の①から③のいずれかに該当する場合には、前条を適用するものとする。
① 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合
② 外国にある事業者が「適切かつ合理的な方法」により、「法第4章第1節の規定の趣旨に沿った措置」を講じている場合
③ 前条第1項各号(※法第23条第1項各号)に該当する場合
2 前項にかかわらず、当社は、EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、前項各号のいずれかに該当する場合を除き、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得なければならない。
 
オ 匿名加工情報(個人情報保護法2条9項・同法36条1項2項)
 十分性認定ガイドラインでは、EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36 条第1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、個人情報保護法2条9項に定める匿名加工情報とみなすこととされています(Q4参照)。
個人情報取扱規程や匿名加工情報取扱規程等においては、以下のような規定を置いて対応することが考えられます。
 
【匿名加工情報の定義】
 「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
① 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
 ただし、EU域内から十分性認定に基づき提供を受けた個人データについては、加工方法等情報を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、匿名加工情報とみなす。
 
【加工方法等情報の安全管理措置の不適用】
第〇条 本節(加工方法等情報の安全管理措置)の規定は、EU域内から十分性認定に基づき提供を受けた個人データについては、加工方法等情報を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、匿名加工情報とみなすこととされるため、適用しないものとする。
 
6.十分性認定の効果と限界
 日本がGDPRに基づく十分性認定を得たことにより、EU域内から日本への個人データの移転について、個別対応は不要となります。
(1)第三国に再移転をする場合の取扱い
 日本が十分性認定を得れば、EU以外の十分性認定を取得していない第三国に個人データを「再移転」する場合は、GDPRの問題ではなく、日本法(個人情報保護法24条に基づく外国にある第三者への個人データの移転)の問題となります。ただし、十分性認定ガイドラインにおいては、個人情報取扱事業者は、EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、法第24 条に従い、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得ることとされています(上記5(2)エ参照)。
(2)多数国に現地法人・支店等を有する場合の限界
 日本の十分性認定の効力は、日本国内についてのみに効力は留まるので、日本企業が、EU域外以外の十分性認定を取得していない第三国に支店や現地法人を有する場合で、当該国にEU域内から直接個人データが提供される場合(例:EU域内の多数国にグループ会社や支店、現地法人がある日本企業)には、適用対象外となるので、標準契約条項(標準データ保護条項)の締結や拘束的企業準則の導入の検討が必要となります。
(3)GDPRが適用(直接適用・域外適用)される場合
 十分性認定はEU域外の第三国へ個人データの移転を認めるものに過ぎないので、①日本企業のEU域内の事業所(子会社、支店、駐在員事務所等)、②EU 域内の管理者又は取扱者の事業所の活動に関連してなされる個人データの処理がEU域外でなされる場合(GDPR3条1項:直接適用される場合)、③EU域内に事業所のない管理者又は処理者がEU域内のデータ主体に対する商品又はサービスの提供に関して個人データの処理を行う場合(GDPR3条2項(a):域外適用される場合)には、GDPR上の管理者又は処理者としての義務が適用されることになります。
 具体的には、以下のような場合は、GDPR上の管理者または処理者としての義務を負うことに留意が必要です。
①X社のEU域内に事業所(子会社、支店、駐在員事務所等)があり、個人顧客や従業員の個人データの処理を行っている場合
⇒GDPR3条1項に基づき、X社の当該EU域内の事業所(子会社、支店、駐在員事務所等)には「管理者」または「処理者」としての義務の適用がある。
②日本企業X社が、EU域内のY社の事業所(子会社、支店、駐在員事務所等)から個人顧客や従業員の個人データの処理の委託を受けて、日本国内の事業所において当該個人データの処理を行っている場合
⇒GDPR3条1項に基づき、X社の日本国内の事業所には「処理者」としての義務の適用がある。
③日本企業A社(EU域内に事業所なし)が、オンラインショッピングで、EU域内の個人向けにオンラインで商品・サービスを提供している場合(英語対応・ユーロ・フラン対応)
⇒GDPR3条2項に基づき、A社にはGDPRが域外適用され、「管理者」としての義務を負う。また、GDPR27条に基づき、EU域内に代理人を選任する義務を負う。