日欧EPA（経済連携協定）発効直前の2019年1月、個人情報の越境移転規制に関連して、日欧相互の十分性認定がなされた。欧州から日本、日本から欧州への移転は、ともに越境移転規制が適用されないこととなり、日欧間の個人情報の流通の自由化は大きく進展した。十分性認定の影響と今もなお残る課題を、アンダーソン・毛利・友常法律事務所の中崎尚弁護士に聞いた。

「十分性認定」がなされたことを伝える、個人情報保護委員会のWebサイト

［画像のクリックで拡大表示］

Q1　十分性認定とは何か。

A1　欧州域内の事業者から、欧州域外の事業者に個人データを移転することは、移転先の事業者が所在する国・地域が、欧州と同等のデータ保護水準であると、欧州から認められた国・地域でない限り、原則禁止される。この同等のデータ保護水準であると認められることを、十分性の認定といい、これまで認められたのは、アンドラ、アルゼンチン、カナダ、スイス、フェロー諸島、ガーンジー島、イスラエル、マン島、ジャージー島、ウルグアイ、ニュージーランドという、わずか11の国・地域にとどまっていた。

Q2　米国は十分性認定を受けていないのか。

A2　米国は、十分性認定を受けていないが、欧州との経済的なつながりの重要性を勘案して、プライバシー・シールドという特殊な枠組みがとられている。プライバシー・シールドによって、欧州から米国への個人データの移転は、越境移転規制が適用されない。

Q3　これまで日本企業はどのように対応していたのか。

A3　GDPR（EU一般データ保護規則）の前身のEUデータ保護指令の時代から、欧州から欧州外への個人情報の越境移転は、原則禁止されてきた。日本への移転も原則禁止されており、標準契約条項（SCC）を締結するなどの対応が必要であったものの、皆がこの規制をクリアできていたわけではなかった。

　GDPR施行によって制裁のリスクが格段に上昇したこともあり、日本の事業者はSCC締結など対応を急ぐとともに、日本政府に対して、欧州から十分性認定を早期に取得するよう強く求めるようになった。

補完的ルールを新たに整備した

Q4　十分性認定に至るまではどのような経緯があったか。

A4　日本と欧州の政府間の交渉は、GDPR施行までにはまとまるだろうという楽観的な見方があった。だが、当初の期待は裏切られ、実際には、GDPRの施行から半年余り経過した2019年1月に、ようやく十分性認定を受けるに至った。

　交渉の過程で、17年5月の改正個人情報保護法をもってしても、GDPRとは大きなギャップのあることが欧州側から指摘され、日本政府は、追加のルールを設ける対応を迫られた。当初、個人情報保護法の追加のガイドラインとして準備をしていたが、最終的には、18年9月に個人情報保護委員会から公表された「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」となった。