EU個人データ保護法「GDPR」施行

日EU間の越境移転規制は緩和へ

個人データの越境移転について、現在、日本とEUの間で規制緩和が模索されている。

現時点のGDPRでは、個人データをEEA域内から域外に越境移転することを原則禁止している。越境移転する場合の条件として主に以下の４つを挙げている。①移転先の国が十分な水準の個人データの保護を確保していると欧州委員会によって認められていること、②「標準契約条項（SCC：Standard Contractual Clauses）」による契約を締結すること、③事業者グループにおける内部規範である「拘束的企業準則（BCR：Binding Corporate Rules）」を採用すること、あるいは④本人の明示的な同意を得ることー。日本は①のいわゆる「十分性認定」の条件を満たす国とは認められておらず、現状では②SCCの締結や③BCRの採用の手続きが必須となっている。

日本の個人情報保護法も、昨年5月30日に全面施行された改正法で同様にEUを含めた越境移転を規制するフレームワークをもっている。今回のGDPR施行を契機として、EUと日本との間でお互いに個人データを円滑に越境移転できる枠組みの構築に向けて、個人情報保護委員会と欧州委員会との間で協議が続けられており、5月31日には委員レベルの会談において重要な進展がみられた。

この枠組みが構築されれば、EEA域内から日本へ個人データを移転する際、SCCの締結やBCRの採用が不要となる。ただし「越境移転の規制はGDPRの規制の一部に過ぎず、この枠組みの構築によってGDPRの規制から一切免れるという誤解をしないでほしい」（石井氏）とする。

個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談（5月31日、東京都内／画像提供：個人情報保護委員会）

ビジネスのグローバル化と同時に、クラウド・AI・IoTなどの普及でさまざまな個人データが容易に国境を越えてしまう時代。日本企業であっても規制の適用を受ける企業が少なくないと考えられる。石井氏は「今後も当委員会では各国のデータ保護機関との意見交換・情報交換等を進めていく。これらを通じて、日本国内の企業がGDPRとの関係を見極めていただくのに有用な情報があれば、積極的に提供することで、支援していきたい」と話している。