【GDPR】
『十分性認定移転ガイドライン』のパブコメ結果がリリースされました。
タイトルを『個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール』に修正しております。
また、『補完的ルール』は、ECによる日本の十分性認定の効力発生日と同日になる予定です。
1 『十分性認定移転ガイドライン』の法的位置づけについて
タイトルをガイドライン→「補完的ルール」に修正しています。
パブコメ結果では、「日本国内での位置づけを変更するものではない」とされておりますが、大きな疑問のありましたこれまでの個人情報保護法のガイドラインの法的位置づけの整合性と、法的強制力が必須であるというEC側の要請の両者を折り合いを付けた妥協的産物と推察します。
2 十分性認定とSCC・BCRの関係について
「十分性認定ではなく SCC や BCR に基づき移転された個人データの取扱いを直接の対象としない」
→十分性認定による移転とSCC・BCRは事業者が選択的に適用可であると解釈します。
SCC・BCRに基づき移転された場合は、補完ルールの遵守不要であると読めます。ここは、大井解釈であり、パブコメではそこまで言及していませんので間違い無いと思いますが、念のため要確認です。
3 利用目的の制限について
EU 域内から十分性認定に基づき提供を受けた個人データについて、当初又はその後提供を受ける際に特定された利用目的の範囲内で第 15 条第 1項に基づき利用目的を特定することを求めるもの。
これは、個人情報保護法「第 26 条の確認記録義務が適用されない場合であっても、」取得時に利用目的を特定し、その範囲内で利用することが必要となります。
すなわち、個人情報保護法26条の確認記録義務に関係なく、利用目的の制限は引き継がれる、という趣旨です。
4 匿名加工情報の定義について
EU 域内から十分性認定に基づき移転した個人データの取扱いについて適用されるものであり、「何人にとっても不可能とした場合」とは、加工方法等情報を削除することにより匿名化された個人を再識別することが、『その時点においては、』何人にとっても不可能である場合を指します。
再識別可能かは、加工処理時点での技術的水準で判断するということでしょう。
【番外編】
個人情報保護委員会に回答権限外とされた質問で重要な論点についてのコメント
『補完的ルール』とGDPRの適用関係
EU 域内から十分性認定により日本に移転される個人データの取扱いについては、日本の個人情報保護法と法補完ルールを遵守すれば良い。あくまで、GDPR全般の義務遵守は、GDPRの適用の有無によります。
すなわち、『補完的ルール』は、GDPR上の全ての義務について日本の個人情報保護法とのGAPを網羅的に埋めたものではありませんので、結論は以下の通りです。
EU 域内から十分性認定により日本に移転される個人データの取扱いについて、
1 日本法は、元から要対応
2 補完的ルール(=GDPRの部分的導入)は、要対応
3 GDPRの全面対応は、不要
4 GDPRの適用を受ける場合のみ要GDPR全面対応
なお、既にSCC対応を完了している事業者様は、別途、EU域内事業者から『SCC』ではなく『十分性認定補完的ルール』対応で移転させて欲しいと要請を受けない限り、対応は不要です。
以上は、パブコメ回答外の大井解説です。
興味あれば「GDPR十分性認定移転ガイドラインへの対応」セミナーまで。
https://www.kinyu.co.jp/cgi/seminar/301635m.html
https://www.ppc.go.jp/news/public-comment/