EUと同等の十分性認定、2019年1月の見通し（個人情報保護委員会）

個人情報保護委員会は、「日欧の個人データ移転に係る相互認証の時期について」を発表した。

製品・サービス・業界動向業界動向

47 views

2018.12.28 Fri 8:00

個人情報保護委員会は12月26日、「日欧の個人データ移転に係る相互認証の時期について」を発表した。これは、欧州委員会が12月4日に開催したEDPB（欧州データ保護会議）において、日本の十分性認定案を歓迎する意見を採択したというもの。欧州委員会は事務手続きを経て、2019年1月中に最終決定されるとしている。

最終決定されると、日本が十分性の認定を受け、GDPR（EU一般データ保護規則）におけるデータの域外移転において、移転先のデータ保護措置がEUと同等に十分なレベルであると認められることになる。十分性が認定されていない国に域外移転する場合には、管理者・処理者間でBCR（拘束的企業準則：Binding Corporate Rules）、SDPC（標準契約：Standard Data Protection Clause）または監督機関により承認された契約を締結する必要があるが、これらが不要となり、GDPRへの対応が比較的容易になる。

ただし、十分性認定を受けたとしても、データに対する保護措置は変わらず、データ処理に関する舷側の遵守や、同意の条件を行わなかった場合、データ移転の条件に従わなかった場合、特別カテゴリーの個人データ処理の条件を遵守しなかった場合などは、その企業の全世界における年間売上高の4％以下、または2000万ユーロ以下のいずれか高い方の罰金が科せられる可能性がある。

《吉澤亨史（ Kouji Yoshizawa ）》