今月も、GDPR(General Data Protection Regulation:EU一般データ保護規則)
への対応について、ご説明します。

 

先月もお伝えした通り、EU域内の事業者から日本国内へ個人データを移転するには、
個人情報保護法に加えて、個人情報保護委員会が定める「補完的ルール」を遵守しなければ
なりません。そのため、「補完的ルール」の対象となるプライバシーマーク取得事業者は、
以下の内容を自社のPMS規程へ反映させ、運用する必要が有ります。

 

1.外国にある第三者への提供の制限


「EU域内から十分性認定に基づき提供を受けた個人情報」を外国にある第三者へ提供する
 場合には、以下に定める場合を除き、事前に移転先の状況を本人へ伝えた上で、同意を得
 る必要があります。

①個人情報保護委員会が定める、日本と同等の水準にあると認められる個人情報の保護に関
 する制度を有している外国等へ提供する場合

②個人データの提供を受ける第三者との間で、適切かつ合理的な方法(秘密保持契約等)に
 より、補完的ルール及び法律と同水準の個人情報保護に関する措置を連携している場合

 ③規格A.3.4.2.3a)d)に該当する場合

 
 そのため、

  ・移転先の状況を本人へ伝えた上で同意を得るための手順、及び使用する様式

  ・上記①~③に該当するかどうかを確認するための手順

について、PMS規程に反映されているかどうかを、プライバシーマーク更新審査で確認される
ことになります。

 

2.匿名加工情報

 「EU域内から十分性認定に基づき提供を受けた個人情報」を匿名加工情報とみなすためには、

  ・加工方法等の情報を削除すること

  ・匿名化された個人を再識別することを何人にとっても不可能な状態にすること


 が必要です。そのため、上記2点についてPMS規程に反映されているかどうかを、プライバシー
 マーク更新審査で確認されることになります。