 |
これまで欧州から日本に個人情報を移すには、個別に契約を結ぶなど煩雑な手間やコストがかかっていました。認定後はこれらが不要になり、企業は歓迎の声を上げます。
ある大手商社は「データ移転をしやすくなる動きはポジティブ」と評価。日本貿易会の中村邦晴会長も「EUと日本のルールの共通化が進み安全にデータのやり取りができれば、オープンイノベーションの活発化にも役立つ」と話しました。
GDPRはEUで集めた個人情報の域外への移転を原則禁じますが、「保護水準がEU並み」と認められた国・地域には例外的に移すことができる「十分性認定」の仕組みがある。アルゼンチンやカナダ、スイスなど約10カ国・地域が認定しました。アメリカも「プライバシーシールド」という独自制度でデータ移転が認められます。
認定前は、欧州のデータを日本に移すためにはデータの持ち主に改めて同意を取り直すか、EUが定めたひな型に沿った契約を結ぶなど特別な手続きが必要でした。
例えば欧州の子会社で集めた顧客情報を東京の本社で分析しようとしても、その都度、契約書を作成して弁護士のチェックを受けるなどの手間やコストがかかりました。今後はこうした作業を省けます。
ただ十分性認定を受けた後も、企業が個人情報を集める際にユーザーに分かりやすく説明し「明確な同意」を得なければならない点は変わりません。日本に移したデータを十分性認定を受けていない第三国に再移転する場合も、従来通りの個別契約などが必要となります。
同意の取得の手続きや個人情報の利用についての不十分な説明などでGDPR違反に問われると、巨額の制裁金を科される可能性もあります。
