きょうのことばセレクション

十分性認定

2019.6.1(土) 掲載
欧州連合(EU)は一般データ保護規則(GDPR)で、原則的に個人データの域外への持ち出しを禁じている。「個人情報保護体制がEU並みの水準にある」と、EUからのお墨付きにあたる「十分性認定」を受けた国・地域には、例外的に移転が認められる。
 現在、アルゼンチンやカナダなど12の国・地域が認定を受け、日本も1月に認定された。米国は別の枠組みでデータ移転が認められている。認定を受ける以前は、日本企業が欧州の顧客データを国内に移すには、利用者の同意を取り直したり個別に契約を結んだりする必要があった。認定後は日本の個人情報保護委員会が定めた補完ルールを守ることを条件に、これらの手続きが不要になった。
 ただ十分性認定を受けた後も、企業が個人データを集める際にユーザーに分かりやすく説明し「明確な同意」を得なければならないなど、データの取得や保護に関する厳しいルールは変わらない。認定は2年以内に見直される予定。保護体制が不十分と判断されれば取り消しの可能性もある。
十分性認定