- 2024年11月21日
質問
日本国内の民間企業が、EEA及び英国から十分性認定により移転を受けた個人データの取扱いについて、個人情報保護委員会が「個人情報の保護に関する法律に係る EU及び英国域内から十分性認定により移転を受けた 個人データの取扱いに関する補完的ルール」を策定していますが、これについて具体的にどのような対応が必要となりますか。
回答
「個人情報の保護に関する法律に係る EU(※)及び英国域内から十分性認定により移転を受けた 個人データの取扱いに関する補完的ルール(以下、「補完的ルール」)」は、日本の個人情報保護法(以下、「法」)の規律に比してGDPRがより厳格な規律を定めている場合にその差異を補完すること等を通じて、高い水準の個人データ保護を確保することを目的とした法的拘束力のある規律です(https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf)。EEA及び英国から十分性認定に基づき個人データの移転を受けた個人情報取扱事業者(個人情報データベース等を事業活動において利用している民間事業者。以下、「事業者」)は、当該個人データの取扱いに関し、個人情報保護法令及びガイドラインに加えて、この補完的ルールも遵守する必要があります。
(※ここでいうEUとはEEAを指します)
補完的ルールは、以下の点に関する規定を定めています。
① 要配慮個人情報(法2条3項)
② 保有個人データ(法2条7項)
③ 第三者提供における確認・記録義務(法15条1項、法16条1項、法26条1項・3項)
④ 外国にある第三者への提供制限(法24条、規則11条の2)
⑤ 匿名加工情報(法2条9項、法36条1項・2項)
以下、①~⑤について必要となる対応等を説明します...