大きく変化する個人情報保護関連制度
個人情報保護法の改正法が施行
「個人情報の保護に関する法律」、いわゆる個人情報保護法(以下、個人情報保護法という)は2017年5月30日に改正法が施行されました。この改正によって、日本における個人情報保護、プライバシー保護に関する法制度は大きな転換点を迎えたと言ってよいでしょう。
今回の改正では、個人情報保護委員会の設立や匿名加工情報、識別符号に関する定義など、非常に多くの変更が行われており、一定のルールの下に個人に関する情報の利活用を促進すると同時に、国際的なプライバシー保護水準に近づけるための大きな前進になると期待されています。すでに政令や委員会規則、FAQ、委員会レポート、ガイドラインなどが公開されており、企業の実務現場、特に一般消費者の個人情報を取り扱い、今後ビッグデータとして分析・活用や、それに伴う匿名加工情報の作成・利用を考えている企業は留意していく必要があるでしょう。
GDPRの影響と個人データの域外移転とは
プライバシー保護の枠組みとして、これまでEU加盟国に適用されてきたデータ保護指令に替わり、GDPRが施行されました。2017年以降、日本の大手グローバル企業では対応準備が急速に進んでいますが、2018年になって各種報道でも「GDPR」が大きく取り上げられたことから、更に多くの企業が対応を検討しています。(しかし業種・業態によってリスクは限定的な場合もあり、過剰投資はお薦めしません。)
GDPRが大きな課題となった理由の1つは、グローバル連結売上の最大4%という高額な罰金と、それを適用する対象に個人データの違法な域外移転が含まれていることです。そもそも、こういった法規制があることを知らずに人事システムなどで欧州から個人データを持ち出し、事実上違法状態になっている日本企業は多いのではないでしょうか。GDPRでは、EUデータ保護指令と同様に、EU域外への個人データの移転を規制しています。自由に個人データを持ち出すことができる移転先はEUが「十分性認定」をした国・地域に限られますが、2018年7月の時点では日本はそれに含まれていません。
そのため、EU加盟国(正確にはEEA:欧州経済領域まで適用)から日本に個人データを移転するためには、EUが「例外措置」として定めたSDPC、BCR等の手続にしたがう必要があります。この点については日本が十分性認定の取得に向けた日欧間交渉を進めてきた結果、2018年5月、EU域内および日本国内で入手した個人データの移転を相互に認めることについて日欧が実質的に合意しました。この十分性認定取得に向けて日本の個人情報保護委員会は、既に日本側の企業が新たに準拠すべきガイドライン案を公表し、5月25日にパブリックコメント募集を終えています。従って日本における新たなガイドラインや、その他の個人情報保護法に関連した各種の改定等にも注意が必要です。
ただし、域外移転に関する手続はGDPRへの対応の中の一部にすぎないため、十分性認定が得られたからといって何もしなくて良いわけではありません。特に域外適用を受ける企業(欧州に事業所・子会社等が無くてもGDPRが適用される)は他の法的要件も満たす必要がありますので、引き続き留意が必要だと考えられます。
