ナレッジ

EUデータ保護規則

第9回 サイバーセキュリティ先端研究所 記者向け勉強会 ダイジェスト

2016年5月13日(金)開催 本勉強会ではEUの規則案の内容や最新動向、改正個人情報保護法制の概要、EU十分性認定についての見通し等を解説します。

EUの一般データ保護規則の成立状況、内容及びEUの最新動向

ウィルマーヘイル法律事務所ブリュッセルオフィス
シニアアソシエイト 弁護士
杉本武重氏

杉本氏は、EUの一般データ保護規則の成立状況から紹介した。EUは現在の「EUデータ保護指令 95/46/EC」の改訂版としてGDPRを提唱、2016年4月14日に欧州議会において採択され、2018年6月から適用が開始される。GDPRの目的は「個人データの保護に対する権利という基本的人権の保護」であり、これまでEU加盟国ごと異なっていた具体的な運用や手続き等のを統一し調和を図ることや、企業に対する新たな説明責任の導入、個人の権利の強化、制裁と執行の増大等を目的としている。

GDPRは、個人データを処理し、個人データを欧州経済領域(European Economic Area.「EEA」)から第三国に移転するために満たすべき法的要件を規定している。個人データに関連する個人である「データ主体」、個人データ処理の目的と手段を決定する「管理者」、管理者を代理して個人データ処理を行う「処理者」を定義し、適用範囲は「EUのデータ主体に対し商品又はサービスを提供し、またはEUのデータ主体の行動を監視する場合」としている。つまり、日本本社のウェブサイトでEU居住者に対し商品・サービス(鉄道切符、航空券、パッケージ旅行等)を販売する企業は、本社に対しGDPRの直接適用があり得ることに注意が必要であるとした。杉本氏はこのほか、制裁金や最新事情、遵守のための主なステップを説明した。

 

改正個人情報保護法制の概要及びEU十分性認定についての見通し

弁護士・ひかり総合法律事務所
板倉陽一郎氏

板倉氏はまず、日本の改正個人情報保護法について説明した。これは、個人情報保護法の「個人情報の保護と有用性の確保に関する制度改正」と、番号利用法の「特定個人情報(マイナンバー)の利用の推進に係る制度改正」を指す。板倉氏は個人情報保護法の改正ポイントとして「個人情報の定義の明確化」「適切な規律の下で個人情報等の有用性を確保」「個人情報の保護を強化」「個人情報保護委員会の新設及びその権限」「個人情報の取り扱いのグローバル化」「その他改正事項」を挙げた。

続いて日欧米の個人情報保護制度及び移転規則の概要を紹介。欧州は域外への移転に際し十分な保護措置があると「十分性認定」を受けた国にのみ認めているが、日本は認定されていない。その認定のための要件としては、「利用制限の原則」「データの質および比例の原則」「透明性の原則」「安全の原則」「アクセス・訂正・異議申立の権利」「移転の制限」があり、センシティブデータの取り扱いルールやダイレクト・マーケティング、個人の自動化された処理に対する権利の要素があるとした。その中には、日本の憲法上不可能なものもあれば、良い影響を及ぼすものもあるとした。さらに手続・執行の構造には「法令遵守の十分な水準の確保」「データの本人に関する支援と援助の提供」「適切な救済の実施」を挙げた。

個人情報の越境移転に関する実務的対応

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員
北野晴人

北野は、個人情報データの越境移転について講演を行った。まず、世界の主要国における個人情報保護に関する法律を紹介、多くの国に国外・域外へのデータ移転について規制があるとした。たとえばEUでは、域外への個人情報の移転を「EUデータ保護指令/ EU Data Protection Directive」により原則禁止している。また、EUデータ保護指令は「一般データ保護規則」の成立によりさらなる規制の強化が予定されている。それは「プライバシー・バイ・デザイン原則」「オプトイン原則」「個人情報漏えい時の通知義務」「データ持ち運びの権利」「忘れられる権利」「罰則の強化」等である。

EUの場合、域内から域外への個人情報の移転には、「明確な同意の取得」「拘束的企業準則(BCR)」「標準契約(SCC)」の3つの方法がある。また、拠点数や移転ルートが限定されている場合はSCCを選択することが合理的であり、コスト面から現在日本企業はこの方式を取っている、とした(2016年8月現在、BCRを取得している日本企業はない)。日本の改正個人情報保護法においても、越境移転についてルールが定められる。外国にある第三者への移転では、移転先の国が日本と「同等水準の保護」を有していると認められるかどうかにより、対応が異なってくる。日本と同水準の保護制度があると、個人情報保護委員会によって認められている場合は、第三者提供の同意やオプトアウト手続などによって移転できる。しかし、日本と同水準の保護制度がない場合には、業務プロセス・管理態勢と情報システムの両面で対応が求められる。また、日本国外への移転については委託や共同利用であっても第三者提供として扱われることにも注意が必要なである。北野は、世界に展開するデロイトのネットワークを活用してサービスを提供するとして、講演を締めくくった。

サイバー・情報セキュリティのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>> オンラインフォームよりお問い合わせを行う <<


サイバー・情報セキュリティについて、詳しくは以下のメニューからお進みください

サイバー・情報セキュリティTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

お役に立ちましたか?