GDPRでは、原則としてEU域内の個人データをEU域外に移転することを原則として認めていません。移転をするための条件として、EUから十分性認定を受ける必要があります。
十分性認定とはどういうものなのか、また、日本は十分性認定を受けているのかを説明します。
十分性認定とは
本来、EU域内の個人データをEU域外に移転する際に拘束的企業準則(BCR)の採択、又は欧州委員会が認めた標準契約条項(SCC)の締結などの複雑な契約を結ぶ必要がありますが、十分性認定を受けることによってその工程を省略し、スムーズに移転を進めることが可能です。
十分性認定とは、EUが「特定の国や地域が個人データについて十分な保護水準を満たしている」ことを審査・認定するというものです。
十分性認定をする上で、国全体として以下のような基準がクリアされている必要があります。
- 個人データの再移転に関する規律
- 効果的かつ執行力のあるデータ主体の権利を含むデータ保護規定
- 専門的規定及び安全対策
- 個人データが移転されるデータ主体のための効果的な行政上及び司法上の是正措置
具体的な内容は、GDPR条文の第45条2項に記載されています。
日本の十分性認定に関して
2019年1月23日、日本は個人データの移転を行うことができるだけの十分なデータ保護の水準を持つ国として、EUより十分性認定を受けました。
十分性認定を受けたことにより、EUから日本へ個人データを移転する際に拘束的企業準則の採択、又は標準契約条項の締結は不要となり、以前よりもEU日本間の個人データ移転がスムーズに行えるようになりました。
ただし、あくまで十分性認定は個人データの域外移転に関するためだけの認定のため、引き続きGDPRに定められたその他の条項の遵守は必要になります。
なお、十分性認定は一度認められたら永続的に効力を発揮するものではなく、定期的な監視、査定が行われ、その際に基準を満たしていない場合は認定を剥奪されることもあります。
日本は次回2021年に、その後は4年毎に査定が行われるため、引き続きGDPRの遵守と十分性認定の基準を満たし続ける必要があります。
0コメント