bussiness

日 EU 間の相互の円滑な個人データ移転について 個人情報保護委員会発表とGDPR

日 EU 間の相互の円滑な個人データ移転について

"本年7月3日には、熊澤個人情報保護委員会委員はヨウロバー欧州委 員と会談を実施し、日 EU 間の相互の円滑な個人データ移転を図る枠組み 構築の具体的方策等について確認したところである。 この会談を踏まえ、個人情報保護委員会としては、今後、欧州委員会の 日本に対する十分性認定に係る作業の進捗に併せて、来年前半を目標に 個人情報保護法第 24 条に基づく EU 加盟国の指定を行う可能性を視野に、 本年6月 16 日に個人情報保護委員会において決定した「個人情報保護法 第 24 条に係る委員会規則の方向性について」に基づき、今後委員会規則 の改正手続を進めていくこととする。 また、EU 加盟国については、EU の個人情報保護制度のみならず、その 制度の遵守態勢、執行態勢並びに相互の理解、連携及び協力の可能性等に ついて確認していく必要があることから、引き続き、情報収集・調査を行 うとともに EU 加盟国の各データ保護機関等との対話を引き続き精力的に 行っていくこととする。" 個人情報保護委員会 https://www.ppc.go.jp/files/pdf/290704_enkatsuiten.pdf

日本は、EUからは個人情報保護の十分な国となっていない。

2018年5月のEU一般データ保護規則(General Data Protection Regulation:GDPR) に向けた取り組みとして個人情報保護委員会が欧州委員と会談を重ねている。 日本は、EUからは個人情報保護の十分な国となっていない。 OECDのプライバシーガイドラインをベースに個人情報保護法を作ったのだが、 日本の法制化の際には日本国民の意識や商慣習など様々な要素を考慮したうえで 大きく割愛してしまった。

個人情報保護法改正で以前よりはEUの基準に追いついてきたが

かねてより、EUから日本の個人情報保護の改善をうながされていた。個人情報保護法の 改正施行によりEUに個人情報保護法の改正により改善した内容を報告したのだと思われる。 個人情報保護法の改正により、個人情報保護委員会の設置や5000件未満問題の解決や 生体情報や個人識別に関する定義の明確化など改正がされた。が、まだまだOECDのプライバシー ガイドラインへの対応ができていない箇所が多い。

一般データ保護規則GDPRが日本に求めるもの

一般データ保護規則GDPRは、EU域内の個人の権利を保護するために、日本でEUの個人情報を扱う場合には 同等の対策が必要となる。 プライバシーバイデザインによる事前の検討やリスクが大きいと予想される場合には、 プライバシー影響評価と対策を実施しなければならない。 クッキーでも情報収集時に同意を取得する。同意後のオプトアウトに応じるなど プライバシーについての取り扱いや管理者を公表する説明責任がある。 流出などの情報侵害には72時間以内にEUの当局に報告しないといけない。

EUでは、プライバシー重要な人権

国内のオンラインサービスでもEU居住者の利用が可能の場合は、上記の対応が必要となる。 国がオリンピックに外国人を誘致を希望しているが、EU居住者にサービスを提供する可能性がある企業は 対応が必要だ。 まずは、個人情報保護法と改正法を軽くクリアした上で、OECDのプライバシーガイドラインへ準拠する。 それが整うことで、GDPRの求めるプライバシーバイデザインやプライバシー影響評価、説明責任など が整備をしやすくなる。 日本の企業がEUからかなり遅れているのは、プライバシー取り扱いについての透明性だ。プライバシー情報の取り扱いを 公表するためには自社のサービスのリエンジニアリングが必要となる。がそれをしていない。国民の権利保護の観点が 持てれば、日本人が持つ顧客満足とおもてなしの視点が利用できるようになる。その視点で見ると自己情報コントロール権を 保護している策であることが理解しやすい。 OECDプライバシー原則は1日の研修で十分に理解できるのでよろしければご利用ください。