「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に対する意見を提出
2018.06.08
2018年04月25日から2018年5月25日までの期間、個人情報保護委員会事務局より公示されました「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集について、当協会では法務・知財委員会を中心に以下の通り意見をとりまとめ、2018年5月25日に、個人情報保護委員会事務局へ意見を提出しました。
提出意見
今回パブリックコメントにかかっている「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」(以下、「ガイドライン案」とします。)をはじめとして、様々な取組み等により個人情報保護委員会が個人情報の保護と利活用のバランスを図ろうとされる姿勢は、大変歓迎すべきものであり、事業者の健全な成長に資するものですので、引き続き、当協会としても支援したいと考えております。
本ガイドラインでは、個人情報の保護に関する法律(平成15年法律第57条)(以下、「法」とします。)24条に基づき、EUを我が国と同等の水準にあると認められる個人情報の保護の制度を有する外国として指定し、併せて、欧州委員会がGDPR第45条に基づき、日本に十分性認定の対象とすることが明記されています。これは、個人情報保護委員会が、EUからの要求に一方的に応じるのではなく、日本の個人情報保護に関する法体系の説明や、国内外の様々なステークホルダーとの意見調整等を行いつつ、対等な交渉を続けられたことによるものと考えます。法改正を行うことなく、しかも双方向での個人情報の移転を確保する形で、十分性を取得することになったことは日本にとって大きな進展であり、個人情報保護委員会による今までの努力に敬意を示すとともに、高く評価いたします。
ただし、個人情報保護法は、個人情報を取り扱うすべての事業者について適用されるため、本ガイドラインによる必要以上の影響が事業者に及ばないよう注意が必要と考えます。そうでなければ、そもそも法律改正を要せずに十分性認定を可能とした当初のスタンスが崩れてしまうからです。例えば、法2条第7項に関し、本ガイドラインで個人データの消去期間を取り除くこととするのは、特に6か月以内に消去するような個人データを取り扱ってきた企業に対し、影響が小さくありません。また、法15条、16条、26条に関し、特定された利用目的を含め、取得の経緯を確認し、記録することが必要とするのは、事業者に対する新たな負担となりえます。したがって、本ガイドラインにも再三記載されているものの、改めて、本ガイドラインがEUから日本に対し十分性認定により個人データが移転した場合にのみ適用されるものであるべきことを確認したいと存じます。
法24条に基づき、EUを我が国と同等の水準にあると認められる個人情報の保護の制度を有する外国として指定することにより、EU以外の国・地域についても同等の水準にある国として指定はされないのかといった議論が起こりえます。しかし、法24条及び個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)等により、上記の場合以外の方法、具体的には、APEC越境プライバシールール(CBPR)や契約等による継続的個人情報保護措置等の方法が確保されていると認識しています。
お問い合わせ
一般社団法人コンピュータソフトウェア協会(CSAJ)
事務局 戸島 お問い合わせフォーム
TEL:03-3560-8440