個人情報保護委員会は、GDPR(General Data Protection Regulation:一般データ保護規則)における同意に関するガイドラインの日本語仮訳を掲載しました。
EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。
GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。
※ EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン
なお、EU各国の個人情報保護機関については、こちらをご覧ください。
EU域外適用に関する影響
GDPRはEU域外の事業者へも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。
GDPRの前文及び条文について、日本語仮訳を作成いたしましたので、掲載いたします。
GDPRに関するガイドラインのうち、次に掲げるものについては、日本語仮訳を作成いたしましたので、掲載いたします。
- データポータビリティの権利に関するガイドライン (PDF:1105KB)
- データ保護オフィサー(DPO)に関するガイドライン (PDF:906KB)
- 管理者又は処理者の主監督機関を特定するためのガイドライン (PDF:596KB)
- データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン (PDF:1152KB)
- 規則における制裁金の適用及び設定に関するガイドライン (PDF:304KB)
- 同意に関するガイドライン (PDF:487KB)
また、欧州委員会(European Commission)がWebサイトに掲載している資料の内、以下の日本語仮訳を作成いたしましたので掲載いたします。
- Infographic(外部サイト(欧州委員会))
日本語仮訳付PDF (PDF:1090KB) (中小企業向けの、簡単にまとめられたGDPR説明) - Fact Sheet “Questions and Answers – Data protection reform package”(外部サイト(欧州委員会))
日本語仮訳付PDF (PDF:318KB) (GDPRによるデータ保護改革案についての質疑応答概略)
なお、日本語仮訳について当委員会は責任を負いかねますので、ご了承ください。
越境データ移転
GDPRは、EU域内の個人データのEU域外への移転について規定します。
EU域内から域外へ個人データを移転するには、
- 十分な個人データ保護の保障
(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定) - BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認) - SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で締結し、欧州委員会が承認) - 明確な本人同意
等、一定の条件を満たさなくてはなりません。
なお、欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域は2017年9月現在、以下のとおりです。
| アルゼンチン共和国 | アンドラ公国 | イスラエル |
| ウルグアイ東方共和国 | 英領ガーンジー | 英領ジャージー |
| 英領マン島 | カナダ | スイス連邦 |
| デンマーク自治領フェロー諸島 | ニュージーランド | |
| アメリカ合衆国(※プライバシーシールドに基づく) | ||
日EU間の越境データ移転
我が国においては、個人情報保護法が外国にある第三者への個人データの提供について規定しています。個人データを越境移転するためには、
- 我が国と同等の水準にあると認められる個人情報保護制度を有している外国として委員会規則で定めるもの
- 必要な措置を継続的に講ずるため、委員会規則に定める基準に適合する体制を整備している個人情報取扱事業者
- あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合
等、一定の条件を満たさなくてはなりません。
日EU間においては、2016年4月以降、欧州委員会との間で、相互の円滑な個人データ移転を図る枠組み構築を視野に対話を進めてきました。
こうした中、2018年7月17日、個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員が電話会談を行い、同対話の最終合意を確認しました。加えて、今後、2018年の秋までに当該個人データ移転の枠組みを運用可能とするために、双方において必要な国内手続(注)を完了させることを約束しました。
(注)個人情報保護委員会の手続としては、個人情報保護法第24条に基づくEU指定に係る手続として告示の制定等があります。 当該EU指定については、同日に開催した第70回個人情報保護委員会において、欧州委員会による日本への十分性認定の発効に併せて手続を進めることとする旨決定しています。
上記の会談について、熊澤委員とヨウロバー委員は「共同プレスステートメント」 (PDF:113KB) を発出しました。
参考(外部サイト)
- GDPR(欧州連合(EU)Webサイト)
- 2018 reform of EU data protection rules(欧州委員会(EC)Webサイト)
- Questions and Answers – GDPR – Factsheets 24 January 2018(欧州委員会(EC)Webサイト)
- GDPRガイドライン(欧州委員会(EC)Webサイト)
- Guidelines on the right to “data portability”, wp242rev.01_en(PDF)
- Guidelines on Data Protection Officers (‘DPOs’), wp243rev.01_en(PDF)
- Guidelines on The Lead Supervisory Authority, wp244rev.01_en(PDF)
- Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01(PDF)
- Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253(PDF)
- Guidelines on Personal data breach notification under Regulation 2016/679, wp250rev.01(PDF)
- Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, wp251rev.01(PDF)
- Guidelines on consent under Regulation 2016/679, wp259rev.01(PDF)
- Guidelines on transparency under Regulation 2016/679, wp260rev.01(PDF)
- Guidelines on Data Protection Impact Assessment (DPIA), wp248(PDF)
- Guidelines on the right to “data portability”,wp242(PDF)
- Guidelines on Data Protection Officers (‘DPOs’),wp243 (PDF)
- Guidelines for identifying a controller or processor’s lead supervisory authority,wp244(PDF)
未承認のガイドライン等については、以下の欧州委員会(EC)Webサイトをご覧ください。
- Data Protection Reform – Factsheets 16 January 2017(EU加盟国の各国語)(欧州委員会(EC)Webサイト)
- Guide to the General Data Protection Regulation (GDPR)(英国情報コミッショナーオフィス(ICO)Webサイト)
- General Data Protection Regulation: a guide to assist processors(フランス情報処理と自由に関する国家委員会(CNIL)Webサイト)
- 10 questions to help prepare your organization for the General Data Protection Regulation (GDPR)(ルクセンブルクデータ保護機関Webサイト)
- The GDPR and You(アイルランドデータ保護機関Webサイト)
- Guidance on appropriate qualifications for a Data Protection Officer(アイルランドデータ保護機関Webサイト)
★当事務所では、マイナンバーの取得・利用・提供・廃棄まで一気通貫で管理するマイナンバーコンサル・コンシェルジュサービスを提供しています。マイナンバーの煩わしい管理を丸投げしたい方は、こちらをご覧下さい。
★当事務所では、新設法人はもちろん、既に対応済の事業者を対象に「マイナンバー対策等無料相談会」を行っております。平成29年5月30日施行の改正個人情報保護法は、全ての事業者に適用になります。個人情報保護法対策はできていますか?どんなことで結構ですのでご相談下さい。「マイナンバー対策等無料相談会」の詳細はこちらをご覧下さい。
★いまからでも間に合うマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。