十分性認定は、GDPR対応を楽にしたか?
1.概要
個人情報取扱事業者に対するEU(正確にはEEA域内)からの個人データの移転につき、2019年1月23日に欧州委員会から十分性認定を受けた。
「欧州委が日本側の個人データの保護レベルについて、今回の決定採択から2年後に最初の監査を行い、その後は少なくとも4年に1回の頻度で監査を続ける」、「アルゼンチン、カナダ、イスラエル、ニュージーランド、スイス、ウルグアイなどの国に対して、既に同様の十分性認定を行っているほか、韓国とは認定に向けた協議を続けている。」とのことである。
2.何が変わったか。
この点、過去と何が変わったのか、果たして管理が楽になったのか。GDPR対応は不要になったのか。
答えはノーである。GDPRは、EU域内に設置されていない管理者または処理者によるEU域内に在住するデータ主体の個人データの処理に適用されることになる(3条)。
直接個人データを取得する場合→3条により対応必要 個人情報取扱事業者に対するEUからの個人データの移転(十分性認定をベースにする)→今回の話
★以下のガイドラインは、SCC や BCR に基づき移転された個人データの取扱いを直接の対象とするものではない。
アルゼンチン、カナダ、イスラエル、ニュージーランド、スイス、ウルグアイ以外の国(中国、タイ、その他の国)が、日本で研究施設を作り、直接個人データを取得してもGDPR対応義務が免除になるわけではない。
あくまでも、個人情報取扱事業者に対するEU(正確にはEEA域内)からの個人データの移転につき適法になるに過ぎない。SCCやBCRなどは今後も使用を検討されることになろう。
3.十分性認定を選択した場合の留意点
大事なのは、SCCやBCRを使わないとして、十分性認定を選択した場合に、どのように個人情報保護法が変容するかを認識することだ。「個人情報の保護に関する法律に係る EU域内から十分性認定により移転を受けた 個人データの取扱いに関する補完的ルール 」は以下の通り記載されている。
本ルールは、EU域内から十分性認定により移転される個人データを受領
する個人情報取扱事業者を拘束し、個人情報取扱事業者はこれを遵守する必要がある。本ルールは法的拘束力を有する規律であり、本ルールに基づく権利及び義務は、本ルールがより厳格でより詳細な規律により補完する法の規定と同様に個人情報保護委員会の執行対象となる。本ルールに定める権利及び義務に対する侵害があった場合は、本ルールがより厳格でより詳細な規律により補完する法の規定と同様に、本人は裁判所からも救済を得ることができる。
(1) 要配慮個人情報(法第 2 条第 3 項関係)
EU域内から十分性認定に基づき提供を受けた個人データに、GDPRにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について法第 2 条第 3 項における要配慮個人情報と同様に取り扱うこととする。
要するに、要配慮個人情報が拡大している。
(2) 保有個人データ(法第 2 条第 7 項関係)
個人情報取扱事業者が、EU域内から十分性認定に基づき提供を受けた個人データについては、消去することとしている期間にかかわらず、法第 2 条第 7 項における保有個人データとして取り扱うこととする。
なお、EU域内から十分性認定に基づき提供を受けた個人データであっても、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は、「保有個人データ」から除かれる(政令第 4 条、通則ガイドライン「2-7 保有個人データ」参照)。
要するに、6か月の消去期間にかかわらず保有個人データになるということだ。
(3) 利用目的の特定、利用目的による制限(法第 15 条第 1 項・法第 16 条第 1 項・法第 26条第 1 項・第 3 項関係)
個人情報取扱事業者は、法第 15 条第 1 項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならず(法第 16条第 1 項)、また、第三者から個人データの提供を受ける際は、規則で定めるところにより、当該第三者による当該個人データの取得の経緯等を確認し、記録しなければならないこととなっている(法第 26 条第 1 項・第 3 項)。
個人情報取扱事業者が、EU域内から十分性認定に基づき個人データの提供を受ける場合、法第 26 条第 1 項及び第 3 項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
同様に、個人情報取扱事業者が、EU域内から十分性認定に基づき移転された個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、法第 26条第 1 項及び第 3 項の規定に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
上記のいずれの場合においても、個人情報取扱事業者は、法第 26 条第 1 項及び第 3 項の規定に基づき確認し、記録した当該個人データを当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする(法第 15 条第 1 項、法第 16 条第 1 項)。
EU域内→十分性認定に基づき移転の場合、利用目的を含めて確認、記録
EU域内→十分性認定に基づき移転を受けた他の個人情報取扱事業者→提供を受ける場合、利用目的を含めて確認、記録
(4) 外国にある第三者への提供の制限(法第 24 条・規則第 11 条の 2 関係)
個人情報取扱事業者は、EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、法第 24 条に従い、次の①から③までのいずれかに該当する場合を除き、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得ることとする。 ① 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認めら れる個人情報保護制度を有している国として規則で定める国にある場合 ② 個人情報取扱事業者と個人データの提供を受ける第三者との間、当該第三者によ る個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、本ルールを含め法と同等水準の個人情報の保護に関する措置を連携して実施している場合 ③ 法第 23 条第 1 項各号に該当する場合
日本企業と第三国の企業間で SCC 締結等の追加措置が求められる訳ではない。24条に従えばよいことになる。
(5) 匿名加工情報(法第 2 条第 9 項・法第 36 条第 1 項・第 2 項関係)
EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第 36 条第 1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。 )をいう。)を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第 2 条第 9 項に定める匿名加工情報とみなすこととする。
加工方法等情報の削除が必要であると記載されている。
楽になったかといえば、SCC や BCR と比べると楽になったと言えるだろう。
4.なお、以上のガイドラインは、SCC や BCR に基づき移転された個人データの取扱いを直接の対象とするものではない。よって、これらについては、SCC や BCR を順守することになる。