GDPR(General Data Protection Regulation:一般データ保護規則)

EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。

また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。

※  EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン

なお、EU各国の個人情報保護機関については、こちらをご覧ください


EU域外適用に関する影響

GDPRはEU域外の事業者へも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。

GDPRの前文及び条文について、日本語仮訳を作成いたしましたので、掲載いたします。


GDPRに関するガイドラインのうち、次に掲げるものについては、日本語仮訳を作成いたしましたので、掲載いたします。


また、欧州委員会(European Commission)がWebサイトに掲載している資料の内、以下の日本語仮訳を作成いたしましたので掲載いたします。


なお、日本語仮訳について当委員会は責任を負いかねますので、ご了承ください。


越境データ移転

GDPRは、EU域内の個人データのEU域外への移転について規定します。

EU域内から域外へ個人データを移転するには、

  • 十分な個人データ保護の保障
    (欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
  • BCR(Binding Corporate Rules:拘束的企業準則)の締結
    (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
  • SCC(Standard Contractual Clauses:標準契約条項)の締結
    (データ移転元とデータ移転先との間で締結し、欧州委員会が承認)
  • 明確な本人同意

等、一定の条件を満たさなくてはなりません。

なお、欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域は2017年9月現在、以下のとおりです。

アルゼンチン共和国 アンドラ公国 イスラエル
ウルグアイ東方共和国 英領ガーンジー 英領ジャージー
英領マン島 カナダ スイス連邦
デンマーク自治領フェロー諸島 ニュージーランド
アメリカ合衆国(※プライバシーシールドに基づく)

日EU間の越境データ移転

我が国においては、個人情報保護法が外国にある第三者への個人データの提供について規定しています。個人データを越境移転するためには、

  • 我が国と同等の水準にあると認められる個人情報保護制度を有している外国として委員会規則で定めるもの
  • 必要な措置を継続的に講ずるため、委員会規則に定める基準に適合する体制を整備している個人情報取扱事業者
  • あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合

等、一定の条件を満たさなくてはなりません。

日EU間においては、2016年4月以降、欧州委員会との間で、相互の円滑な個人データ移転を図る枠組み構築を視野に対話を進めてきました。

こうした中、2018年7月17日、個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員が電話会談を行い、同対話の最終合意を確認しました。加えて、今後、2018年の秋までに当該個人データ移転の枠組みを運用可能とするために、双方において必要な国内手続(注)を完了させることを約束しました。


(注)個人情報保護委員会の手続としては、個人情報保護法第24条に基づくEU指定に係る手続として告示の制定等があります。 当該EU指定については、同日に開催した第70回個人情報保護委員会において、欧州委員会による日本への十分性認定の発効に併せて手続を進めることとする旨決定しています。


上記の会談について、熊澤委員とヨウロバー委員は「共同プレスステートメント」 (PDF:113KB) を発出しました。


参考(外部サイト)

未承認のガイドライン等については、以下の欧州委員会(EC)Webサイトをご覧ください。

http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358