今月は、GDPR(General Data Protection Regulation:EU一般データ保護規則)への
対応について、ご説明します。

GDPRは、EU域内における個人データ保護に関する法律です。2016427日に採択され、
2年間の移行期間を経て、2018525日より施行しました。

GDPRでは、EU域内から域外へ個人データを移転することを原則禁止しており、違反した
場合は、高額の制裁金(最大2,000万ユーロ(約26億円)か、世界での年間総売上高4%のいずれか
高い方)が科されます。

EU域内から域外へ個人データを移転するには、以下に示す一定の条件を満たす必要があります。

①十分な個人データ保護の保障

  (欧州委員会が十分な個人データ保護水準であると認定した国)

②BCR(Binding Corporate Rules:拘束的企業準則)の締結

  (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)

③SCC(Standard Contractual Clauses:標準契約条項)の締結

 (データ移転元とデータ移転先との間で、欧州委員会が認めた雛形条項による契約の締結)

④明確な本人の同意


なお、上記①に該当する国・地域は以下の通りです。

・アルゼンチン共和国

・アンドラ公国

・イスラエル国

・ウルグアイ東方共和国

・英国王室属領ガーンジー

・英国王室属領ジャージー

・英国王室属領マン島

・カナダ

・スイス連邦

・デンマーク王国自治領フェロー諸島

・ニュージーランド

・アメリカ合衆国(プライバシーシールドに基づく)

・日本(※2019123日付けで認定)

 

日本は、先月EUから十分性認定を受けました。そのため、個人情報保護委員会が定める
「補完的ルール」を遵守することを前提として、EU域内から日本へ個人データを移転する
ことができます。

これにより、プライバシーマーク取得事業者は、当該「補完的ルール」への対応状況について、
プライバシーマーク更新審査で確認されることになりました。

来月以降は、この「補完的ルール」について、ポイントを絞って解説して参ります。