前回もお伝えした通り、EU域内から日本へ個人データを移転するには、
個人情報保護委員会が定める「補完的ルール」を遵守する必要があります。
「補完的ルール」は以下に示す個人データが対象となります。

 ①EU域内の事業者(子会社・支店を含む)から、十分性認定に基づき移転
   (第三者提供・委託・事業承継等)された個人データ
  ②他の個人情報取扱事業者から提供を受けた、①に該当する個人データ

  ※国内事業者から上記①、②の委託を受けて取り扱う事業者は「補完的ルール」
    の対象外です

  ※EU域内の個人から個人データを取得する事業者は、「補完的ルール」ではなく、
  GDPR及びEU域内各国の法律が適用されます

 

上述の「補完的ルール」の対象となるプライバシーマーク取得事業者については、


  ・該当する個人データの特定
  ・リスクアセスメント及びリスク対策


を実施した記録を残す必要があります。


※GDPRで定義されている「個人データ」には、「位置データ」や「オンライン識別子
 (IPアドレス・Cookie等)」も含みます