欧州委員会は23日、日本のデータ保護水準がEUと同等の十分なレベルにあると認定し、EU域内で収集した個人情報の持ち出しが可能な移転先として正式に承認したと発表した。日本の個人情報保護委員会もEUのデータ保護水準を日本と同等と認定しており、日・EU間で相互に個人データを円滑に移転できる枠組みが同日付で発効した。
EUが2018年5月に施行した一般データ保護規則(GDPR)は、EU28カ国とノルウェー、リヒテンシュタイン、アイスランドの計31カ国で構成する欧州経済地域(EEA)の域外に個人データを持ち出すことを原則として禁止しており、違反した場合は高額の制裁金を科される可能性がある。一方、欧州委がEUと同等のデータ保護水準を確保していると認めた国・地域に関しては、例外的にデータ移転を認める「十分性認定」の仕組みがあり、これまでにカナダやスイスなど12カ国・地域を認定している。このほか16年8月に発効した「プライバシーシールド」と呼ばれるEU・米間の枠組みに基づき、EUから米国へのデータ移転も認められている。
これまで日本は十分性の認定を受けていなかったため、たとえば日本企業の欧州子会社がEU加盟国の顧客や従業員のデータを本社に移転する場合、改めてデータ主体の同意を取得するか、EUの定める標準契約(モデル契約)を締結するなどの措置が必要だった。日本とEUは昨年7月、2月1日に発効する日欧経済連携協定(EPA)を念頭に、個人情報の円滑な移転を可能にするため、相互に「十分性認定」を与えることで合意。欧州委と個人情報保護委がそれぞれ正式承認に向けた手続きを進めていた。
データ保護水準の十分性が認定されたことで、今後はデータ移転にかかる手間やコストを省け、日本企業はEU域内で取得した個人データを本社で一元管理することなどが容易になる。ただし、EU域内で個人情報を収集する際はこれまでと同様、データ主体の明示的な同意を得なければならない。また、日本に移転したデータを欧州委の十分性認定を受けていない第3国に再移転する場合も、個別に契約を結ぶなど従来通りの手続きが必要になる。
欧州委のヨウロバ委員(法務・消費者・男女平等担当)は声明で「EUと日本による相互の十分性認定により、データが安全に流通する世界最大のエリアが形成される」と強調した。なお、欧州委は十分性の認定が妥当かどうか、定期的にチェックする必要があると説明。日本側のデータ保護水準について、まず2年後に最初の検証を行い、その後は少なくとも4年に1回の頻度で監査を実施する方針を示している。