十分性認定に関する補完的ルールへの対応について
「EU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」への対応について
平成30年9月、個人情報保護委員会より、日EU(注)間での相互の個人データ移転を図るため、「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下、「補完的ルール」という)が公表されました。その後、令和2年2月1日英国がEUを離脱しましたが、日EU間と同様に、日英間の円滑な個人データ移転が確保されることを、個人情報保護委員会が公表するとともに、同日より、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下、「補完的ルール」という)と名称が改められました。
この「十分性認定」とは、欧州委員会が、特定の国や地域が個人データについて十分な保護水準を確保していると決定することをいい、この度、日本も“十分性認定”を受けることになり、EU域内の法制度に基づいた、企業間の契約条項等で適切な保護措置を確保することなどの他の条件を満たさなくても、日本国内法と「補完的ルール」を遵守すれば、EU域内の事業者から個人データの移転を受けることが可能となります。
「補完的ルール」については、EU及び英国域内から日本国内への個人データの移転に際して、個人情報保護制度の相違点を埋めるための法的拘束力を有するものであるため、EU及び英国域内から十分性認定により移転を受けた個人データを取扱う事業者は、補完的ルールの施行後、個人情報保護法に加え、「補完的ルール」の遵守が必要となります。
プライバシーマーク付与事業者、新規に付与を受けようとする事業者(以下、合わせて「プライバシーマークの付与を受けようとする事業者」という。)において、「補完的ルール」への対応が必要となる事業者におかれましては、本資料に示す事項をご参照の上、ご対応をお願いします。
なお、「補完的ルール」の対象となるかご判断が難しい場合等、本件に関してご不明な点がありましたら、申請先審査機関またはJIPDECまでご相談ください。
JIPDEC公表資料
「EU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」への対応について (278KB:2019年1月22日公表、2022年4月28日改訂)
(補足)「プライバシーマーク制度において補完的ルールへの対応状況を確認する事業者」について (229KB:2019年1月24日公表、2022年4月28日改訂)
運用開始時期
順次対応します。参考情報
- 「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(平成30年9月公表、令和4年4月一部改正)
- 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
- 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(令和3年10月一部改正、令和4年4月施行)
日EU間の相互の円滑な個人データ移転を図る枠組み発効 (個人情報保護委員会:平成31年1月23日公表)
英国のEU離脱後においても日英間の相互の円滑な個人データ移転を図る枠組みは維持 (個人情報保護委員会:令和2年1月31日公表)
英国のEU離脱について (個人情報保護委員会:令和2年1月28日公表、令和2年1月31日更新)
更新日
2022年4月28日更新(「構築・運用指針」施行への対応)
2020年2月10日更新(参考情報追加)
2019年2月4日更新
2019年1月24日更新
2019年1月22日公表