日本の十分性認定に向けて
2018年9月5日、欧州委員会は正式に、日本が個人データについて十分な保護水準を確保していることについての承認手続を開始しました。欧州委員会が十分性の決定予定を発表すると同時に、欧州委員会のヨウロバー(Jourová)委員(司法・消費者・男女平等担当)は、欧州委員会議体(28人の委員からなる)に対し今後のステップについて説明しました。十分性決定のドラフトはこちらで見ることができます。
この重要なステップは、2017年に始まり、今夏発表された欧州連合(EU)と日本の政治的合意に至るまでの、両者間の長きにわたる議論の末に到達したものです。今夏の政治的合意を皮切りに、EUと日本それぞれが互いを同等レベルのデータ保護水準を有していると承認する正式な手続きに入りました。EUにおける承認は、一般データ保護規則(GDPR)第45条および第93条に基づいて欧州委員会が行う「十分性決定」の採択によって行われます。十分性決定とは、第三国、領土、または第三国内の特定のセクターがデータ保護について十分な保護水準を確保していることを認めるものです。十分性決定は欧州経済領域(EEA)全体に効力を有し、3つのEEA加盟国(アイスランド、リヒテンシュタイン、ノルウェー)も十分性決定に拘束されます。これは、2018年7月6日に採択された共同委員会決定(Joint Committee Decision)に基づき、GDPRが欧州経済領域合意の附属書XIに組み込まれたことによるものです。
正式な手続が両者で完了すると、セーフガードや適用除外に依拠することなく、EEAと日本の間で個人データを安全かつ自由に流通させることができます。それまでの間は、EU日本間での個人データの移転は、引き続き、拘束的企業規則(BCR)の採択や欧州委員会が採択した標準契約条項(SCC)の締結など、GDPR第46条以降の要件に従う必要があります。
EU側での次のステップ
十分性の審査手続きには、EU加盟国の代表者で構成された委員会による審査が必要です。同委員が特定多数決(欧州連合条約第16条(4))、すなわちEU人口の65%以上に相当する加盟国を代表する15名以上の委員による委員の55%以上による意見を出す必要があります。委員会が賛成意見を出した場合、欧州委員会議体は、委員の過半数(28人中15人)により十分性決定の草案を可決することができます。
事前に、GDPRにおいて創設された独立したEUの組織である欧州データ保護委員会(「EDPB」)(全加盟国の監督当局および欧州データ保護監督者で構成されます。)は、欧州委員会によってなされた日本に対する十分性評価について意見を出す必要があります(GDPRの前文105項)。自由、正義および内政に関する欧州議会委員会(LIBE)(法務内政政策の法整備および民主的監督の大部分を担います。)もまた、日本のデータ保護の枠組みとその執行状況についての最新情報を提供することになります。LIBE委員会は、昨年、日本の関係者との十分性に関する議論にすでに関与しました。
欧州委員会は、今年中に採択手続きを終わらせると思われます。
日本側での次のステップ
欧州委員会が十分性決定をするまでに、日本はいくつかの措置を取ることになります。
昨年の個人情報保護法の改正に加え、日本の個人情報保護委員会は2018年9月7日、「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を公表しました。同ルールは、欧州委員会の十分性決定が発効したときに施行されます。同ルールは、両法制度の間に依然残る相違を克服するため、EUからデータが日本に送られた場合に取るべき措置について定めています。具体的には、「要配慮個人情報」の定義、保有個人データ、および外国にある第三者への提供に関するルールなどが規定されています。同ルールは、EEAからデータを取得する日本企業に対して同ルールが法的拘束力を有し、また個人情報保護委員会による措置の対象になると明記しています。
補完的ルールには、EUの要請に応じて苦情処理制度についても規定されると見込まれていましたが、これは結局規定されていません。しかし、欧州委員会の公式プレスリリース(2018年9月5日付)には、このような制度を日本が実施することを約束したとあります。
同プレスリリースには、日本はまた、刑執行や国家安全保障目的で日本の公的機関が個人データへアクセスする場合についても手当てをすると約束したと記載されています。
並行して、日本側もEUについて十分性の最終決定をすることになります。個人情報保護委員会は、EEAを日本の個人情報保護制度と同等レベルの個人データ保護制度を有していると認め、欧州のデータ保護の枠組みを認めるという意思決定をすることになります。