GDPRの十分性認定について、行うべき対応まで徹底解説！

GDPR（EU一般データ保護規則）は2018年に施行され、世界中に影響を与えています。
そのルールの中に「十分性認定」と呼ばれるものがあります。日本は2019年に十分性認定を受けており、多くの企業に個人情報保護の観点から影響を及ぼしています。
本記事ではGDPRの十分性認定について、行うべき対応まで徹底解説していきます。

GDPRの十分性認定について

GDPR（EU一般データ保護規則）は、2018年5月に導入された「EU域内の個人情報保護に関する規則」です。この規則はEU域内での適用が求められますが、その罰則は世界的にも適用される可能性があります。さらに、違反に対する制裁金は数十億円にも上ることがあります（前年度の年間売上高の4％以下または2000万ユーロ以下の高い方が適用されます）。このため、日本でも大きな話題となっており、プライバシー保護の重要性が世界の企業に強く認識されるきっかけとなりました。

十分性認定が与えるメリットについて

それでは、十分性認定が日本企業にどのように影響を与えるのか見ていきましょう。

手続きが簡易化し、BCR（拘束的企業準則）やSCC（標準契約条項）などが不要に

十分性認定を取得した国は、データの越境移転において特に制約を受けず、BCRやSCC、または本人の同意などの手続きが不要となります。これにより、多くの企業は個別の契約を結ぶ必要性がなくなり、さまざまな手続きにかかる負担やコストが大幅に軽減されます。
ただし、十分性認定による免除は越境移転の規制（データの持ち出し）に限られることに留意してください。また、EUから日本へ移転されるデータには補完的ルールが適用される可能性もありますので、これも考慮に入れておくことが重要です。
「個人情報の保護に関する法律に基づくEU域内および英国からの個人データ移転に関する補完的ルール（通称：補完的ルール）」について説明します。
補完的ルールは、GDPR（EU一般データ保護規則）と日本の個人情報保護法の間に存在する違いを埋めることを目的として制定された規則です。個人情報保護法が十分ではない領域において、より厳格な保護が求められるため、補完的ルールでは以下のような具体的な内容が定義されています。

・要配慮個人情報として扱うべきデータの追加・
・保有個人データの範囲の拡張
・利用目的の特定と利用目的による制限
・第三国（外国の第三者）への提供の制限
・匿名加工情報の範囲の制限

特に、第三国への個人データの提供においては、移転先の国が十分性認定を受け入れていることが重要です。十分性認定を受けていない場合は、通常と同じく個別契約や本人の同意が必要になります。
「十分性認定はデータ移転の負担を軽減しますが、個人情報の保護は免除されるものではない」という点に留意しましょう。

日本からEU域内へのデータ移転の続きも簡易化

日本から外国に個人データを転送する際には、通常、外国の事業者に対して本人の同意を取得する必要があります。ただし、EUと日本の間で相互の十分性認定が行われたことにより、この同意は不要となりました。
ただし、データの転送先事業者の状況によっては、引き続き個人情報保護法が適用されることに変わりはありません。要するに、国内の事業者がGDPRの要件を遵守する必要があるということです。

十分性認定に関する補完的ルールへの対応

「EUおよび英国域内から十分性認定により移転を受けた個人データの取り扱いに関する補完的ルール」について
平成30年9月には、個人情報保護委員会が日本とEUとの間で相互の個人データ移転を円滑化するため、「補完的ルール」という名前のルールを公表しました。その後、令和2年2月1日には英国がEUから離脱しましたが、日本とEUおよび英国間での円滑な個人データ移転を確保するため、個人情報保護委員会が新たな「補完的ルール」を公表し、適用範囲を「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」と改めました。

日本企業は今後どのように対応すべきか

上述した通り、十分性認定は越境移転規制が免除されるモノで、個人情報保護が免除されるという訳ではありません。十分性認定を受けているからと安心せずに自社状況に合わせた個人情報保護法と補完的ルールやGDPRの遵守が徹底的に求められています。
今後の日本企業の対応としては、GDPRを念頭に置き「世界水準で個人情報保護の体制」を整えていくということが必要不可欠となっていきます。
具体的には以下の施策実施が必要です。

・個人データ収集の際に同意を取得する
・保持中の個人データを暗号化する
・保護違反の発生時には72時間以内に報告する
・データ保護の部門責任者を配置する

2020年はCCPA（カリフォルニア州消費者プライバシー法）やLGPD（ブラジル個人情報保護法）が施行されるなど、「プライバシー保護」の流れが世界規模で強まったという特徴の年でした。
今後の新たな動きが予想され、「海外を意識」する個人情報の保護体制の整備は世界基準でほとんどの企業で当然の取り組みとなって来ています。
その国の法律で求められる企業の対応は異なりますが、全世界でGDPRを基準とした個人情報保護を強化することは、無駄とは言えないでしょう。個人情報関連の法律は少なくともGDPRの影響を受けているためだと考えられます。

まとめ

GDPRにおける「十分性認定」について、対策まで解説してきました。日本企業への影響を理解し、十分な個人情報保護体制を整えましょう。
GDPRはコンサルティングサービスの支援による対策も可能です。
株式会社UPFでは、自社状況がGDPRの要件を満たしているかどうかわからない、具体的に何をすれば良いかわからない、取引先からGDPRへの対策を求められている、将来的にEU展開を考えている、対外的にアピールしたい等、様々なお客様の要望にお答えします。ぜひこの機会に、Pマーク取得の実績No.1のコンサル会社UPFへの相談を検討してみてはいかがでしょうか。

お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。