はじめに

グローバル化により国を跨いだデータ移転（越境データ）は当たり前になりつつある。GDPR（一般データ保護規則）でも、この越境データは厳しく制限している。しかし、いつでもインターネットを通じて世界の情報にアクセスできるようになった以上、越境データを完全に把握、適切に扱うことは現実的ではない。

EUでは、総じて個人データ保護は人権そのものであるという考え方から、EU域外への個人データ移転を原則禁止としている。

その反面、自由なデータ流通の必要性は認識しており、データ移転の制限を緩和するための仕組みとして「十分性認定」を設けている。十分性認定とは、日本のように十分性認定を受けている場合、EU域内から対象地域へと円滑に個人データの移転ができる仕組みだ。

一方で十分性認定を受けていない地域の場合は、Google Fonts事件のように制裁対象になる。

そこで本記事では、GDPRにおける十分性認定に関連する以下のテーマについて解説していく。

GDPRにおける十分性認定とは
日本の十分性認定までの道のり
日本の事業者に求められる対応

GDPRにおける十分性認定とは

十分性認定とは、一般的にEUのGDPR第45条に基づき、欧州委員会が行う決定のことだ。

これはEU域外の国や地域等が、十分なデータ保護の水準を確保していることを認めるものである。

十分性認定がある国や地域では、EU域内からその対象地域へと円滑に個人データの移転ができるようになる。

ここでGDPRによって定められている、個人データをEU域内から域外へと移転する方法について解説する。GDPRにおいて、上記行為が認められているのは以下の3パターンに限られる。

十分性認定に基づく移転
(十分性認定がない場合)適切な保護措置に従った移転
上記以外の特例

まず1つ目は、本記事のテーマでもある十分性認定だ。この認定がなされることにより、EU域内から該当地域への個人データ移転が適法化される。

続いて2つ目は、適切な保護措置に従った個人データの移転だ。

適切な保護措置として代表的なものを2つ取り上げる。

1点目は「SDPC : 標準データ保護約款」だ。これは、EU域内から個人データを持ち出すデータ輸出者とEU域外でこれを受け取るデータ輸入者との間で特定の契約を締結することで、移転が適法と認められる手段のことである。

2点目は「BDR : 拘束的企業準則」だ。これは、グループ企業全体をデータ保護機関に認定してもらうことによりグループ内のデータ移転を可能とするものである。日本では、楽天が既に認定済みで、IIJ、富士通が申請中である。

このような保護措置を講じることにより、適法に個人データの移転が可能となる。

最後に3つ目は、特例的な移転だ。GDPR第49条においては、その中の1つとして明示的同意に基づいた移転が挙げられている。これは、十分性認定などの適切な保護措置が存在しないことが個人データの取扱いに与えるリスク等について、データ提供者が情報提供を受け、かつ、明示的に同意をした場合に個人データ移転が可能となる。

なお、この特例は限定的な人数が対象となる行為であり、継続的に個人データを移転する場合への適応は推奨されていない。

上記のようにGDPRにおいては、原則としてEU域外への個人データの移転は禁止されている。

しかし、上記の3パターンのいずれかを満たした場合にのみ、域外への個人データの移転が可能である。

このとき2つ目と3つ目のパターンでは、個人データの越境移転に対して個別対応が必要となり、多大な労力が生じる。

そのため1つ目のパターンである十分性認定を受けると、これらの手続きが省略され、その国や地域に存在する事業者にとってメリットとなる。

実例：GDPR圏の越境データに関する損害賠償事例「Google Fonts事件」

データの越境移転によって損害賠償が認められた事例がある。

例えば、ドイツにおいてGDPR違反により、個人における損賠賠償が認められた事例として、いわゆるGoogle Fonts事件が挙げられる。

この事件ではウェブサイト運営者の設定により、ウェブサイト閲覧者のIPアドレスがGoogleのサーバに転送されていたことが原因となり、結果としてウェブサイト運営者が損害賠償義務を負った。

このような判決となった理由は大まかに2点ある。

まず1点目は、転送されたデータ内容がGDPRにおいて個人データであった点だ。IPアドレスはGDPRにおいて個人データに該当しており、これをウェブサイト運営者がウェブサイト閲覧者の同意なく転送させたことはGDPRの違反行為に該当する。

2点目は、IPアドレスの転送先がアメリカであった点だ。アメリカはGDPRの十分性認定がないことから本事件の賠償額決定の論拠となった。

日本の十分性認定までの道のり

日本は、2019年1月23日にアジアで初となる十分性認定を受けた。

この十分性認定を受けるまでの過程において、日本はEUと継続的なコミュニケーションや、制度改革を実行してきた。

最近では、日本の個人情報保護制度に対する評価への対応として、個人情報保護法の令和2年改正及び、令和3年改正が行われた。

なお、日EU間の十分性相互認定は世界で初めての出来事である。また、2018年に適応が開始されたGDPR第45条及び、2017年に全面施行された改正個人情報保護法第24条の双方による認定も世界で初めてである。

日本の事業者に求められる対応

十分性認定により移転されたEUの個人データの取扱いに関しては、「補完的ルール」が適応される。

主な内容は以下だ。

性生活、性的指向又は労働組合に関する情報を要配慮個人情報と同様に取り扱う。
保有個人データの６カ月制限は適用されない（開示等、本人からの請求等の対象となる）。
提供先は、提供元の利用目的以上の目的を設定できない。
外国にある第三者への提供の制限（APEC CBPR による再移転はできない）。
再移転の基準はあくまでも個人情報保護法 24 条であり、再移転先が GDPR 上適格であったとしても即再移転可とはならない。
仮 ID を残した匿名加工情報は認められない。

十分性認定が認められている間は、上記対応を行うことにより、その他個別対応がなくともEUの個人データを日本に移転可能となる。

しかし、十分性認定は場合によって解除される恐れがある。十分性認定は初回は2年、その後は4年ごとに定期的に見直されるため、見直しのタイミングで解除される可能性が存在する。

そのため、該当するEUの個人データの越境移転を行っている事業者は、十分性認定が解除された場合には先述したような個別対応ができるよう備えておく必要があるだろう。

また、日本の個人データをEUに持ち出す場合にも、個別対応は必要でない。理由は、日本の個人情報保護制度における十分性認定をEUが満たしているためである。

まとめ

十分性認定とは、EUのGDPR第45条に基づき欧州委員会が行う決定のことで、この認定があることにより個別対応がなくともEU域内の個人データを対象地域に移転可能となる。
GDPRにおいて個人データのEU域外への移転は原則禁止されている。
日本は2019年に十分性認定を受けた。
十分性認定によりEU域内の個人データを日本に移転する場合には、「補完的ルール」への対応が必要である。

参考