EU(外国制度)
GDPR(General Data Protection Regulation:一般データ保護規則)

EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。

EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン

なお、EU各国の個人情報保護機関については、こちらをご覧ください→EU各国の個人情報保護機関

GDPRに関するセミナー

個⼈情報保護委員会は、平成30年11⽉20⽇(⽕)、イザベル・ファルク=ピエロタン⽒(仏・情報処理と⾃由に関する国家委員会(CNIL)委員⻑)を始めとする国内外の有識者をお招きし、GDPR(⼀般データ保護規則)に関するセミナーを開催しました。
詳細は以下よりご覧ください。

EU域外適用に関する影響

GDPRは、EU域内の事業者だけでなくEU域外の事業者にも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。
GDPRの前文及び条文の仮日本語訳を掲載します。

GDPRに関するガイドラインのうち次に掲げるものの仮日本語訳を掲載します。

GDPRが引用される欧州連合司法裁判所の判例集が欧州データ保護監察機関(EDPS)から発表されています。仮日本語訳を作成しましたので掲載します。

また、欧州委員会(European Commission)がウェブサイトに掲載している資料のうち以下の仮日本語訳を作成しましたので掲載します。

なお、以上は参考のための仮日本語訳であって、その利用について当委員会は責任を負いません。
正確な内容については原文を御参照ください。

越境データ移転

GDPRは、EU域内の個人データのEU域外への移転について規定します。
EU域内から域外へ個人データを移転するには、

  • 十分な個人データ保護の保障

    (欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)

  • BCR(Binding Corporate Rules:拘束的企業準則)の締結

    (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)

  • SCC(Standard Contractual Clauses:標準契約条項)の締結

    (データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)

  • 明確な本人同意

等、一定の条件を満たさなくてはなりません。

なお、欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域は2022年1月末時点、以下のとおりです。

  • アルゼンチン共和国
  • アンドラ公国
  • イスラエル国
  • ウルグアイ東方共和国
  • 英国
  • 英国王室属領ガーンジー
  • 英国王室属領ジャージー
  • 英国王室属領マン島
  • カナダ
  • 韓国
  • スイス連邦
  • デンマーク王国自治領フェロー諸島
  • 日本国
  • ニュージーランド

参考(外部サイト)

なお、GDPR第97条の規定に基づき、欧州委員会は、2020年5月25日までに、またその後4年毎に、GDPRの評価と見直しに関する報告書を欧州議会及び欧州連合理事会に提出し、公表することとされています。このことについて、欧州委員会は、2020年6月24日に最初の報告書を公表しました。