EUによる十分性認定を想定した新しいガイドラインに関するパブリックコメントの募集-日本・EU間の相互の十分性認定が目前か
個人情報保護委員会は、2018年4月25日、「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」と題するガイドライン案(以下、「本ガイドライン案」)を公表し、本ガイドライン案について、パブリックコメントによる意見の募集を開始した。意見受付の締切日は2018年5月25日である1。
本ガイドライン案策定の経緯
近時、EUによる十分性認定2を通じた日EU間の個人データの円滑な移転に向けて、個人情報保護委員会と欧州委員会との間で対話が重ねられてきた。本ガイドライン案は、個人情報保護委員会が、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」(個人情報保護法24条)としてEUを指定すると共に、欧州委員会が、日本が個人データについて「十分な保護水準を確保している(ensures an adequate level of protection)」(一般データ保護規則(GDPR)45条)と決定することを想定し策定されたものである。
したがって、特に言明はされていないものの、上記のような対話に基づく、日本とEUの相互の十分性認定への目途が見えてきたと個人情報保護委員会が判断したとみるのが妥当であろう。
本ガイドライン案の概要
EUからの十分性認定に際して日EU双方の制度間の相違点に対処する必要があったところ、個人情報保護委員会と欧州委員会の間では、法改正を行わない形でこれに対応することとなった。したがって、本ガイドライン案は上記相違点を解消することを意図して策定されたと言える。本ガイドライン案の概要は以下のとおりである。
- 要配慮個人情報の範囲:個人情報保護法では、「性生活」、「性的指向」又は「労働組合」に関する情報は要配慮個人情報に該当しないが、これらの情報をEU域内から十分性認定に基づき提供を受けた場合には、要配慮個人情報と同様に取り扱うこととする。
- 保有個人データの範囲:個人情報保護法では、6か月以内に消去することとなる個人データについては開示等の請求権が認められる保有個人データに該当しないが、EU域内から十分性認定に基づき提供を受けた個人データについては、6か月以内に消去することとなる個人データについても、保有個人データとして取り扱うこととする。
- 利用目的の特定:個人情報保護法では、第三者提供を受けた個人情報の利用目的が取得時に特定された利用目的に制限される旨を規定する条文はないが、EU域内から十分性認定に基づき提供を受けた個人データについては、記録確認義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲内で当該データを扱うこととする。
- 日本から外国への個人データの再移転:EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供(再移転)するに当たっては、本人の同意に基づき再移転する場合には本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供し、提供先の体制整備を根拠として再移転する場合には契約等により個人情報保護法と同水準の保護措置を実施することとする。
- 匿名加工情報:EU域内から十分性認定に基づき提供を受けた個人情報について個人情報保護法上の匿名加工情報として扱うためには、加工方法に関する情報を削除することにより、匿名化された個人を再識別することを何人にとっても不可能なものとすることとする。
個人情報保護委員会によれば、新しいガイドラインの公布・施行は本年前半を予定しているとのことである。本ガイドライン案では、これが施行されると、EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束するため、当該個人情報取扱事業者は上記規律を遵守しなければならない、と定めている。
1 http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000050&Mode=0
2 十分性認定とは、欧州委員会が、一般データ保護規則(GDPR)45条に基づき、国又は地域等を個人データについて十分な保護水準を確保していると認める決定を意味する。十分性認定を受けた国又は地域等への個人データの域外移転については、標準データ保護条項(standard data protection clauses、データ保護指令下における標準契約条項(standard contractual clauses)とほぼ同様の概念)を含む契約の締結といった通常必要な手当が不要となる。