日本とEU、自由なデータの流れを生み出す

日本とEU、自由なデータの流れを生み出す – 記事

2018年7月17日、欧州連合と日本は、互いのデータ保護システムを「同価値」として認識することに合意しました。一旦採用されれば、この決定によって企業が個人経済データをヨーロッパ経済圏から日本へ、そしてその逆へと、追加の安全措置をすることなく移動させることができるようになります。

ヨーロッパから日本へのデータ転送

昨年の一般データ保護規則(GDPR)は、ヨーロッパ全域でのデータプライバシー法の調和、すべてのEU居住者のデータプライバシーの保護および権限強化、および世界中の組織によるデータプライバシーへの取り組みの再構築を目的として宣言されました。

この決定は、EEA加盟国と第三国との間での個人データの自由な流れを可能にするために、GDPRの下で提供される最も直接的なものです。その採択には、欧州委員会による対象国のデータ保護の枠組み、個人に利用可能な関連する救済メカニズム、および特に対象国が遵守しなければならないデータ保護に関するその他の義務の包括的な評価が含まれます。

この決定は、日本の個人情報保護法(PIPA)によって付与された保護のレベルにも基づいています。EUの厳しい基準を遵守するために、2018年9月、日本の個人情報保護委員会は、EU市民のデータを保護するための追加の保護措置を講じ、EUから日本に転送される個人データに適用される最終的な補足規則を発行しました。

このPPC EU補足規則は以下の通りです。(i)「機密の個人情報」の範囲を、性的指向または労働組合への加入に関する情報等まで拡大し、そのような情報をPIPAの下でより厳格な制限の対象とすること。 (ii)6ヶ月以内に削除される個人データの免除を排除すること。 (iii)「識別不可能な個人情報」の範囲を狭めること。

なお、PPC EU補足規則では、権利と利益の侵害の際に提供された一般的権限を引用し、たとえその保護措置がPIPAが提供するものよりも厳しい基準であるとしても、その保護措置の遵守に失敗した際にはPPCは適切な管理措置を取る権限を持っていると言及されています。

日本からヨーロッパへ

PIPAによって、企業は(オプトアウトのオプションとは対照的に)関連する個人から事前に同意を得て、日本国外の関係者に個人データを提供しなければならなくなるでしょう。法定上の例外を一つ挙げるならば、データを受け取る側がPPCによってPIPAの基準に相当する個人データ保護システムを備えていると指定された国または地域にいることです。

この点に関して、PPCは、PIPAと同等の保護を提供する地域としてEUを認め、EUがその妥当性の判断を完了したときに最終的な命令を発することに合意しました。企業は、今後、日本からEUへの個人データの転送に関して、プライバシーポリシーを適切に開示したり、関連する個人から明確な肯定的な同意を得ることなく手配することができます。

世界最大のデータの自由な流れ

両国経済間のデータ転送を円滑にし、世界最大のデータの自由な流れを生み出すと同時に、各居住者の個人データに対する適切な保護を確保するというこの共同の努力は歓迎すべきものです。この法制度が発効し、施行される2019年2月1日以降、企業は新しいデータ転送フレームワークの恩恵を受けることになります。

PPCはすでに採択作業を完了しており、欧州側では、12月5日に欧州データ保護委員会もこれに承諾しました。欧州委員会の最終的な採択の決定も時間の問題でしょう。

最後に一言付け足すならば、私たちは、データ合意はEUと日本の間での個人データ転送のみに関係するということに注意すべきでしょう。日本から米国などの他の国々へのEU個人の私的データの転送は、すべての適用法および規制の慎重な検討を必要とするからです。

元記事はこちら:https://www.infosecurity-magazine.com/opinions/japan-eu-free-flow-data/

人工知能と自然言語を結びつける自然言語処理(NLP)テクノロジー。43のユースケースとNLPハードウェア、ソフトウェア、... 世界のIoTに関するレポート公開中