十分性認定に関する補完的ルールへの対応について
「EU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」への対応について
平成30年9月、個人情報保護委員会より、日EU(注1 )間での相互の個人データ移転を図るため、「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下、「補完的ルール」という)が公表されました。
この「十分性認定」とは、欧州委員会が、特定の国や地域が個人データについて十分な保護水準を確保していると決定することをいい、この度、日本も“十分性認定”を受けることになり、EU域内の法制度に基づいた、企業間の契約条項等で適切な保護措置を確保することなどの他の条件を満たさなくても、日本国内法と「補完的ルール」を遵守すれば、EU域内の事業者から個人データの移転を受けることが可能となります。
「補完的ルール」については、EU域内から日本国内への個人データの移転に際して、個人情報保護制度の相違点を埋めるための法的拘束力を有するものであるため、EU域内から十分性認定により移転を受けた個人データを取扱う事業者は、補完的ルールの施行後(注2) 、個人情報保護法に加え、「補完的ルール」の遵守が必要となります。
このため、プライバシーマークの審査において、「補完的ルール」の対象となる事業者については、当該事業者の個人情報保護マネジメントシステムが「補完的ルール」にも対応していることを確認します。補完的ルールの対象となる事業者におかれましては、下記の公表資料に示す事項をご参照の上、ご対応をお願いします。
補完的ルールの対象となるかご判断が難しい場合等、本件に関してご不明な点がありましたら、申請先審査機関およびJIPDECまでご相談ください。
- 注1:ここでの「EU」とは、EU加盟国28か国の他、アイスランド、リヒテンシュタイン及びノルウェーも含みます。
- 注2:補完的ルールの施行日は、欧州委員会が、日本が個人データについて十分な保護水準を確保していると決定し、その効力が生じる日となります。
JIPDEC公表資料
「EU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」への対応について (365KB:2019年1月22日公表、2019年2月4日改訂)
(補足)「1.審査で補完的ルールの対応状況を確認する事業者」について (292KB:2019年1月24日公表、2019年2月4日改訂)
- 2019年1月22日に公表した資料に関し、一部、説明を追加いたしました。内容の変更はございませんが、すでにご覧いただいた皆様には改めてご確認くださいますようお願いいたします。
運用開始時期
順次対応します。参考情報
- 「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(平成30年9月公表)
- 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
- 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成31年1月一部改正)
日EU間の相互の円滑な個人データ移転を図る枠組み発効 (個人情報保護委員会:平成31年1月23日公表)
英国のEU離脱後においても日英間の相互の円滑な個人データ移転を図る枠組みは維持 (個人情報保護委員会:令和2年1月31日公表)
英国のEU離脱について (個人情報保護委員会:令和2年1月28日公表、令和2年1月31日更新)
更新日
2020年2月10日更新(参考情報追加)
2019年2月4日更新
2019年1月24日更新
2019年1月22日公表