2018年12月

欧州データ保護会議(EDPB)からの日本の十分性認定にかかる意見についての公表文(速報版)


板倉 陽一郎



1 はじめに
日本と欧州の間で、個人情報保護制度について相互の認定を行うための対話が進んでいることは広く報道されているが、2018年12月4〜5日の第5回欧州データ保護会議(EDPB)総会において、日本の十分性認定についての意見が採択されたとのことで、これに関するコメントがEDPBから発出されているところ、その内容を伝えるとともに、若干の考察を行う。

2 欧州からの十分性認定の概要及びこれまでの経緯
十分性認定とは、欧州一般データ保護規則(GDPR)において、個人データの欧州(EU加盟国及びEEA3カ国)からの移転が原則禁止されているところ、十分なデータ保護の制度を備えている国又は地域として認定されることで、移転が可能となる制度である(ただし、GDPRは個人データの処理も原則禁止しており、処理の適法化事由が不要となるわけではないことに注意が必要である)。具体的には、GDPR第44条及び45条がこれを定める(条文の邦訳は個人情報保護委員会による)。

GDPR第44条 移転に関する一般原則
現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関から別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

GDPR第45条 十分性認定に基づく移転
1. 第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる。その移転は、いかなる個別の許可も要しない。
2. 〜9.(略)

日本の個人情報保護委員会は、日本についての十分性認定を得るべく、欧州委員会と累次の対話を重ねており、2018年9月5日には、欧州委員会から”International data flows: Commission launches the adoption of its adequacy decision on Japan” とのプレスリリースが発出され、欧州委員会による日本の十分性認定の草案(別紙I及びIIを含む)も公表されている。ここで、十分性認定については、各国のデータ保護機関の合議体である欧州データ保護会議が予め「十分性の評価に関する意見」を述べる事となっている(GDPR第70条1項(s))。

第70 条 欧州データ保護会議の職務
1. (a)-(r)(略)
(s) 欧州委員会に対し、第三国、第三国内の地域若しくは一つ若しくは複数の特定の部門又は国際機関が十分なレベルの保護を確保しなくなったか否かの評価に関するものを含め、第三国又は国際機関における保護のレベルの十分性の評価に関する意見を提供する。この目的のために、欧州委員会は、欧州データ保護会議に対し、第三国の政府との書簡のやりとりを含め、当該第三国、第三国内の地域若しくは特定の部門又は国際機関と関連する全ての必要な文書を提供する;
(t)-(y)(略)
2. -4.(略)

 つまり、十分性認定は、必ず、データ保護の専門家であるEDPBの意見を経てから、EUの行政機関たる欧州委員会によってなされるという流れになっている。これは、EUデータ保護指令においても変わることはなく、第29条作業部会が同じ役割を果たしていた。かくして、日本の十分性認定の草案等は2018年9月にはEDPBに送付されてきており、EDPBは、2018年9月25日〜26日の第3回総会、11月16日の第4回総会と議論を重ね、12月4〜5日の第5回総会においてついに意見を出すに至ったというわけである。

3 日本の十分性認定についてのEDPBの意見(Opinion)
 2018年12月8日現在、意見そのものは公表されていないが、EDPBによる議事に関するコメントが公表されているので、これを引用する。

「EDPBの構成員は、会議が欧州委員会より2018年9月に受領した、EU-日本(間の移転に関する)十分性認定の草案に関する意見を採択した。EDPBは、欧州委員会より提供された文書に基づいて評価を行った。 EDPBの主たる目的は、欧州委員会が、日本の枠組みにおいて、個人に対する適切なレベルのデータ保護のための十分な保証を確保できたかどうかを評価することであった。 EDPBは、日本の法的枠組みが欧州のデータ保護法制を再現することを期待しるわけではないことを理解することが重要である。EDPBは、欧州委員会と日本の個人情報保護委員会が、日本の法的枠組みと欧州の法的枠組みとの間のコンバージェンスを高めようとしている努力を歓迎する。 2つのフレームワーク間の相違点の一部を補完するために「補完的ルール」(注:「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」)によってもたらされた改善は非常に重要であり、申し分なく受け入れることができる。しかし、EDPBは、欧州委員会による十分性認定の草案と日本のデータ保護の枠組みを慎重に分析した結果、EUから日本へ移転された個人データの保護について、データのすべてのライフサイクルを通じて、いくらかの懸念が残っていることを通知する。EDPBは、欧州委員会に対し、EDPBが明確化を要求する事項について対応し、投げかけた論点に関する更なる証拠と説明を提供し、法適用が適切になされているか、注意深く監視するよう勧告する。
EDPBは、EU-日本の十分性認定は、一般データ保護規制(GDPR)の適用開始以来の最初の十分性認定として、前例となるものであることから、極めて重要なものであると考えている。」

4 考察
 意見の結論が明記されているものではないが、EDPBが、「いくらかの懸念」が残っていることを述べ、明確化を要求する事項への対応、論点への説明、日本の個人情報保護委員会による法適用の監視を勧告していることからは、条件付きで十分性を認める意見がなされたものと推察される。過去に、EDPBの前身たる第29条作業部会において、十分性を認めない意見がなされたのはオーストラリアのみであり、大きなハレーションを巻き起こした。また、意見が出ないまま年単位でペンディングにされることも珍しくない。あえて意見として提供する以上は、単純に不十分とするものではないのではないかと考えるが、まずは吉報を待つこととしたい。

以上



↑TOP