欧州委員会は5日、欧州連合(EU)が5月に施行した一般データ保護規則(GDPR)の枠組みで、日本のデータ保護水準がEUと同等と認める「十分性認定」の承認手続きに着手したと発表した。加盟国や欧州議会との調整を経て、年内の手続き完了が見込まれる。十分性が認定されると日本企業は制裁リスクを回避し、EU域内で取得した個人データを円滑に移転できるようになる。
デジタル時代に対応した個人情報保護を実現する目的で導入されたGDPRは、EU28カ国とノルウェー、リヒテンシュタイン、アイスランドの計31カ国で構成する欧州経済地域(EEA)の域外に個人データを持ち出すことを原則として禁止しており、違反した場合は高額の制裁金を科される。一方、欧州委がEUと同等のデータ保護水準を確保していると認定した国・地域については個人情報の移転を認めており、現時点でスイスやニュージーランドなど12カ国・地域がこれに該当する。
これまで日本は十分性の認定を受けていなかったため、たとえば日本企業が国内でEU加盟国の顧客や従業員のデータを扱う場合、グループ企業内で情報を移転するための「拘束的企業準則」の承認を受けるか、EUの定める標準契約(モデル契約)を締結するなどの措置が必要だった。日本とEUは7月、2019年3月の発効を目指す日欧経済連携協定(EPA)を念頭に、個人情報の円滑な移転を可能にするため、相互に「十分性認定」を与えることで正式合意していた。
欧州委のヨウロバ委員(法務・消費者・男女平等担当)は声明で「(相互の十分性認定を通じて)データが安全に流通する世界最大のエリアが形成される。双方の市民と企業の利益のため、EUと日本の間で個人データが安全に移転されるようになる」と強調。EU加盟国各国のデータ保護機関の代表などで構成する欧州データ保護会議(EDPB)からの意見聴取や、EU加盟国代表で構成する専門委員会への諮問、欧州議会内の市民の自由・司法・内務委員会(LIBE)での審議などを経て、年末までに日本に対する十分性認定の承認手続きを完了したいとの考えを示した。
ただ、十分性認定が適用されるのは、EUから日本への個人情報の「移転」についてのみ。このため日本企業がEU域内で顧客から個人情報を取得するといった個人データの「処理」に関しては、GDPRに基づく義務の順守(事前の同意取得など)が求められる。また、日本企業がEU域内で取得した個人データを、EUが十分性を認定していない第3国・地域に移転することはできない。