欧州連合(EU)は、日本とEU間の個人データの移転についての十分性認定による枠組み(adequacy framework)を採択しました。この枠組みは、相互の決定に基づき、2019年1月23日付で、両者に適用されることになりました。
新たな枠組みの概要は、下記のとおりです。
- EUから日本に個人データが移転される際には、EU法上のものと同じ保護(例えば、個人データへのアクセスを要求する本人の権利)が適用されます。
- 本枠組みは、センシティブ・データ(欧州一般データ保護規則(GDPR)第9条。健康データを含む)の移転についての明確なルールを含みます。日本におけるデータ保護法制の下では、センシティブ・データは、個人情報保護法第2条第3項で定義される「要配慮個人情報」として取り扱われます。当該条項では、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています。これらのデータ(GDPR第9条に規定される労働組合に関する情報等を含む)については、明確な同意の要件及び例外条項が適用されます。
- 本枠組みは、EUから日本への直接のデータ流通のみに影響を与えます。EUの個人データが、当初、米国とのプライバシー・シールドの下で米国に移転され、その後日本に移転される場合には、再移転についての契約が必要となり得ます。
- 日本では、独立のデータ保護当局(個人情報保護委員会)が日本の事業者による個人データの処理について調査することができ、問題が認められた場合には、拘束力のある決定を行うことができます。
- BREXIT問題に鑑み、この新たな枠組みが英国・日本間のデータ移転に適用されるか否か及び適用される範囲については、今のところ明確ではない状況です。
- EU・日本・米国間のデータ移転において、EUのデータは、十分なレベルの保護が保証されない他の地域の個人又は団体に更に移転することはできません。但し、当該移転についてEUデータ本人の同意がある場合はこの限りではありません。米国での有効なプライバシー・シールド証明は、適切な保護レベルを保証することがあります。
- 本枠組みの運用状況を評価するため、2年後に共同のレビューが行われます。
モルガン・ルイスは、本決定に関して、引き続き注視して参ります。今後、状況に進展がある場合には、当事務所のウェブサイトにて都度お知らせいたします。(https://www.morganlewis.com/topics/gdpr-resource-centre)
お問合せ
本件に関しまして、ご質問やさらなる情報が必要な場合には、下記の担当者にご連絡ください。
東京オフィス
荒木 源徳
ワシントンDCオフィス
アクセル・スピース