EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。
GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。
EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン
なお、EU各国の個人情報保護機関については、こちらをご覧ください→EU各国の個人情報保護機関。
GDPRに関するセミナー
個⼈情報保護委員会は、平成30年11⽉20⽇(⽕)、イザベル・ファルク=ピエロタン⽒(仏・情報処理と⾃由に関する国家委員会(CNIL)委員⻑)を始めとする国内外の有識者をお招きし、GDPR(⼀般データ保護規則)に関するセミナーを開催しました。
詳細は以下よりご覧ください。
EU域外適用に関する影響
GDPRは、EU域内の事業者だけでなくEU域外の事業者にも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。
GDPRの前文及び条文の仮日本語訳を掲載します。
GDPRに関するガイドラインのうち次に掲げるものの仮日本語訳を掲載します。
- 管理者及び処理者の概念に関するガイドライン (PDF : 2109KB)
- データポータビリティの権利に関するガイドライン (PDF : 1105KB)
- データ保護オフィサー(DPO)に関するガイドライン (PDF : 906KB)
- 管理者又は処理者の主監督機関の特定に関するガイドライン8_2022 (PDF : 394KB)
- データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン (PDF : 1152KB)
- 規則における制裁金の適用及び設定に関するガイドライン (PDF : 304KB)
- 個人データ侵害通知に関するガイドライン09_2022 (PDF : 806KB)
- 個人データ侵害通知の事例に関するガイドライン01_2021 (PDF : 738KB)
- 自動化された個人に対する意思決定とプロファイリングに関するガイドライン (PDF : 493KB)
- 同意に関するガイドライン (PDF : 2493KB)
- 透明性に関するガイドライン (PDF : 573KB)
- 規則第49条の例外に関するガイドライン (PDF : 427KB)
- GDPRの地理的適用範囲(第3条)に関するガイドライン 03_2018 - バージョン2.1 (PDF : 582KB)
- GDPRの地理的適用範囲(第3条)に関するガイドライン 03_2018 - バージョン2.1の意見募集版(仮日本語訳)からの見え消し版 (PDF : 628KB)
- 新型コロナウイルス感染症の発生下における科学的研究を目的とした健康に係るデータの取扱いに関するガイドライン03_2020 (PDF : 820KB)
- ビデオ装置を介した個人データの取扱いに関するガイドライン (PDF : 2381KB)
- ソーシャルメディア・ユーザーのターゲティングに関するガイドライン08_2020 (PDF : 1629KB)
- コネクテッドビークル及びモビリティ関連アプリケーションにおける個人データの取扱いに関するガイドライン01_2020 (PDF : 1554KB)
- GDPR第23条に基づく制限に関するガイドライン102020 (PDF : 542KB)
- 第25条データ保護バイデザイン及びデータ保護バイデフォルトに関するガイドライン42019 (PDF : 941KB)
GDPRが引用される欧州連合司法裁判所の判例集が欧州データ保護監察機関(EDPS)から発表されています。仮日本語訳を作成しましたので掲載します。
- EDPS Case Law Digest 2021: Transfers of personal data to third countries From Lindqvist to Schrems II: case law of the CJEU on transfers of personal data to third countries (外部サイト(欧州データ保護監察機関(EDPS)))
また、欧州委員会(European Commission)がウェブサイトに掲載している資料のうち以下の仮日本語訳を作成しましたので掲載します。
-
Infographic
(外部サイト(欧州委員会))
- 日本語仮訳付PDF (PDF : 1090KB) (中小企業向けの、簡単にまとめられたGDPR説明)
- Fact Sheet "Questions and Answers – Data protection reform package"(外部サイト(欧州委員会))
- 日本語仮訳付PDF (PDF : 318KB) (GDPRによるデータ保護改革案についての質疑応答概略)
なお、以上は参考のための仮日本語訳であって、その利用について当委員会は責任を負いません。
正確な内容については原文を御参照ください。
越境データ移転
GDPRは、EU域内の個人データのEU域外への移転について規定します。
EU域内から域外へ個人データを移転するには、
- 十分な個人データ保護の保障
(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
- BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
- SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)
- 明確な本人同意
等、一定の条件を満たさなくてはなりません。
なお、欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域は2022年1月末時点、以下のとおりです。
- アルゼンチン共和国
- アンドラ公国
- イスラエル国
- ウルグアイ東方共和国
- 英国
- 英国王室属領ガーンジー
- 英国王室属領ジャージー
- 英国王室属領マン島
- カナダ
- 韓国
- スイス連邦
- デンマーク王国自治領フェロー諸島
- 日本国
- ニュージーランド
参考(外部サイト)
- GDPR(欧州連合(EU)Webサイト)
- 2018 reform of EU data protection rules(欧州委員会(EC)Webサイト)
- Questions and Answers - GDPR - Factsheets 24 Jan 2018(欧州委員会(EC)Webサイト)
-
GDPRガイドライン(The European Data Protection Board (欧州データ保護会議)ウェブサイト)
- Guidelines on the right to "data portability", wp242rev.01_en(PDF)
- Guidelines on Data Protection Officers (‘DPOs’), wp243rev.01_en(PDF)
- Guidelines on The Lead Supervisory Authority, wp244rev.01_en(PDF)
- Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, wp248rev.01(PDF)
- Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253(PDF)
- Guidelines on Personal data breach notification under Regulation 2016/679, wp250rev.01(PDF)
- Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, wp251rev.01(PDF)
- Guidelines on consent under Regulation 2016/679, wp259rev.01(PDF)
- Guidelines on transparency under Regulation 2016/679, wp260rev.01(PDF)
- Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
- Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation
- Data Protection Reform - Factsheets 16 Jan 2017(EU加盟国の各国語)(欧州委員会(EC)Webサイト)
- General Data Protection Regulation: a guide to assist processors (フランス情報処理と自由に関する国家委員会(CNIL)Webサイト)
- 10 questions to help prepare your organization for the General Data Protection Regulation (GDPR) (ルクセンブルクデータ保護機関Webサイト)
- The GDPR and You (アイルランドデータ保護機関Webサイト)
- Guidance on appropriate qualifications for a Data Protection Officer (アイルランドデータ保護機関Webサイト)
なお、GDPR第97条の規定に基づき、欧州委員会は、2020年5月25日までに、またその後4年毎に、GDPRの評価と見直しに関する報告書を欧州議会及び欧州連合理事会に提出し、公表することとされています。このことについて、欧州委員会は、2020年6月24日に最初の報告書を公表しました。