GDPRの「移転」について解説したガイドラインの邦訳を公開 個人情報保護委員会
掲載:2025年02月17日
サイバー速報
目次
個人情報保護委員会はこのほど、欧州データ保護会議(EDPB)が2023年2月に採択したガイドライン「Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Version 2.0」の仮日本語訳を公表しました。このガイドラインは、EU一般データ保護規則(GDPR)について実践的なガイダンスを提供するもので、第3条(地理的適用範囲)と第5章(第三国または国際機関への個人データの移転)を踏まえてどのようなケースに第5章の要件が適用されるのかを解説しています。
GDPRでは欧州経済領域(EEA)で取得した個人データをEEA域外へ「移転」することを原則禁止しています(十分性認定や標準契約条項=SCC=、拘束的企業規則=BCR=などの要件を満たす場合は許容されます)。一方、GDPRは「移転」について法的な定義を規定していません。ガイドラインは「移転」の解釈を明確にするのに役立ちます。
ガイドラインではまず、ある基準が満たされる場合、「移転」が存在し、GDPRの第5章が適用されるとしました。基準とは大まかにいうと、データを送る側がGDPRの適用対象であり、データの受け渡しがあり、データを受け取る側はEEA域外であることです。なお、第5章は個人データがEEA域外に移転された後も継続的な保護を確保することを目的としています。
次に、12の事例を挙げて第5章が適用されるか否かを解説しています。具体的には、第三国の管理者が域内のデータ主体より直接的にデータを収集する場合(域外の組織がEEAに住む個人から直接個人データを収集する)▽第三国の管理者が域内のデータ主体より直接的にデータを収集しかつ一部の取扱活動のために域外の処理者を使用する場合(データ処理する組織が域外)▽域内の管理者の従業員が出張で第三国に渡航する場合▽域内の子会社(管理者)が第三国のその親会社(処理者)とデータを共有する場合――などのケースが示されています。
おすすめ記事
- 【2024年4月】個人情報保護法 関連法令改正(Webスキミング対応)を解説
- 「『英国一般データ保護規制(UK GDPR)』実務ハンドブック」を公表 JETRO
- 事業者による個人情報漏えい事案は約1.6倍に、令和5年度「年次報告」を公開 個人情報保護委員会
- 個人情報の漏えいなど事故報告件数および報告事業者がともに増加、2023年度の集計結果を公表 JIPDEC
- 発生事例を学びに、「不正アクセスによる個人データ漏えい防止のための注意喚起」を公表 個人情報保護委員会
- カリフォルニア州消費者プライバシー法(CCPA)を読み解く ~日本の個人情報保護法やGDPRとの違いは何か~
- SOC2とは?その必要性、準拠の進め方などを解説
- GDPR、日本の「十分性認定」が発効 個人情報保護委員会