日本と欧州連合(EU)は31日、現地で得た個人データの移転を相互に認めることで実質合意した。EUは5月に施行した一般データ保護規則(GDPR)で、域外へのデータ持ち出しを厳しく規制している。日本側が企業が新たに守るべき指針を7月初旬までに定めることで、今秋にもデータを円滑に移転する枠組みが発効する。企業の事務負担は軽くなりそうだ。
EUのベラ・ヨウロバー欧州委員と、日本の個人情報保護委員会の熊沢春陽委員が都内で会談し合意した。ヨウロバー氏は日本経済新聞社などに対し「保護水準の擦り合わせで進展があった」と話した。
GDPRでは欧州の個人データの域外移転(持ち出し)を原則禁止したうえで、情報の保護水準がEU並みに達しているとEUが認定した国・地域に限って持ち出しを認めている。現時点でスイスなど11カ国・地域がこの認定を受けているが、日本は受けてない。
国レベルでの認定がないと、域外企業は個人から個別に移転の同意をとったり、EU当局が用意したひな型を利用して特別な契約を結んだりしなければならない。
日本は欧州から認定を受けることも念頭に、2017年5月に改正個人情報保護法を施行。さらにEUからの個人データに対して保護を上乗せする指針を策定する予定だ。例えば「労働組合」などの情報を「要配慮個人情報」として手厚く保護する。ヨウロバー欧州委員は「加えて、国による個人データへのアクセスが、日本ではどこまで制限されているかも確認したい」と指摘した。
ただGDPRではデータを域外に持ち出さなくても、EU在住者のデータを扱う企業にはデータ保護のための体制整備を求めている。データ漏洩した場合に速やかに当局に通知しなければならない仕組みも整える必要がある。
日本企業などには対応の遅れも指摘される。ヨウロバー氏は「まずは大量の個人データの処理を事業としている組織や、医療や保険などの機微情報を扱う組織の対応を注視する」という。
GDPRは違反すると最大で2000万ユーロか世界での年間総売上高の4%のいずれか高い方の制裁金を科される。EU加盟国の間でも、規則を補完する国内法の整備が遅れている国があるが、企業が各国からバラバラに制裁金を科されたりしないよう、調整も急ぐ。(編集委員 瀬川奈都子)
Nikkei Inc. No reproduction without permission.
