個人情報保護委員会は、2018年5月31日に欧州委員会と会合を開き、「一般データ保護規則(GDPR)」に基づく個人データの域外移転について、日本の「十分性の認定」に向けて協議を進めることで合意しました。
GDPRでは、欧州経済地域(EAA)在住者の個人データをEAA域外へ移転することを原則禁止しています。
例えば、EAA域内の企業から電子メール等で個人データを受け取ったり、EAA域外からEAA域内の個人データへアクセスするといったケースがこれに当てはまります。
ただし、欧州委員会がGDPR第45条に基づきデータ保護の施策がEUと同等の水準にあると「十分性の認定」を受けた国については、EAA域外への移転が認められます。
日本はまだ「十分性認定」を受けておらず、日本企業では楽天が「拘束的企業準則 (Binding Corporate Rules : BCR)」の承認を取得して、データの域外移転を容認されています。2018年現在では、富士通株式会社もBCRの申請を発表しました。
個人情報保護委員会は現在、外国にある第三者への個人情報の提供制限について規定した個人情報保護法第24条に基づくガイドラインなどの整備を進めています。
今回の会合で、欧州委員会はこうした取り組みを鑑みて、日本の「十分性の認定」に向けた協議を加速させることで合意しました。
ただし、日本が「十分性の認定」を受けたとしても、GDPRでは「プライバシー・バイ・デザイン」「オプトイン原則」「個人情報漏えい時の通知義務」などへの対応が求められています。
企業がこれらに違反した場合には、最大で全世界の年間売上高の4%もしくは2000万ユーロのうち高額な金額の方が制裁金として課せられる可能性もあります。
EEA域外の国や地域では、GDPR自体の認知度が低く、対応が十分に進んでいない企業が多々見受けられます。今後日本が「十分性の認定」を受けたとしても、個人データを扱う個々の企業自体が、GDPRに基づくデータ保護体制を早急に整備する必要があります。
APIを活用して個人データへアクセスしたり取得・修正する場合も、GDPRの次の条文に配慮すべき点があります。
- 第5条:個人データの取り扱いに関する原則
- 第25条:設計及びデフォルトのデータ保護
- 第32条:取り扱いの安全性
- 第33条:監督機関への個人データ侵害の通知
- 第34条:データ主体への個人データ侵害の通知
API運用設計を行う際は、上記の条文に則り、仕様を取り決めていくことが望ましいでしょう。
