個人データの越境移転や海外法規制対応に関する実態調査結果を公表 個人情報保護委員会
掲載:2023年12月21日
サイバー速報
目次
個人情報保護員会は12月6日、個人データの越境移転や海外法規制への対応に関して企業向けに実施した実態調査の結果をとりまとめ、公表しました。調査は2022年11~12月に実施され、有効回答数は66社でした。
それによると、海外居住者のデータを取得していた企業は全体の82%(54社)であり、データの越境移転を行っていた企業は全体の86%(57社)でした。データ越境移転は日本から他国への移転が98%(56社)、他国から日本への移転が84%(48社)、他国から他国への移転が64%(31社)でした。
日本から他国へデータを移転している企業のうち、「要配慮個人情報」を扱うのは26%(17社)、「匿名加工情報」を扱うのは3社(5%)、「個人関連情報」を扱うのは27%(18社)でした。例えば、治験や海外旅行保険サービス、航空サービスなどを提供する目的で顧客から要配慮個人情報を得て利用していました。
他方、移転影響評価(TIA)を実施している企業は35%(23社)に留まり、48%(32社)は実施していませんでした。実施しない理由は「リスクの高いデータ移転を行っていないため」、「代替手段を用いて評価しているため」、「実施のための知見やリソース不足のため」に大別されました。
EU圏内の国からEU圏外の他国へのデータ越境移転については、57%(38社)が行っていました。この際の法的根拠として最も多かったのは、「十分性認定」と「標準契約条項(SCC)」の併用であり、41%(27社)が実施していました。一方、十分性認定のみを根拠している企業は12%(8社)、十分性認定を根拠とすることができますが、SCCのみを根拠とすると回答した企業は9%(6社)でした。
このほか公表された資料では、DFFT(Data Free Flow with Trust)やグローバルCBPR(グローバル越境プライバシールール)の認知度や期待感などが取りまとめられています。
おすすめ記事
- カリフォルニア州消費者プライバシー法(CCPA)を読み解く ~日本の個人情報保護法やGDPRとの違いは何か~
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- ランサムウェア被害は前年同期比87%増、2022年上半期の「サイバー空間をめぐる脅威の情勢等」を公表 警察庁
- サイバー攻撃に関する解説動画を公開、中小企業向けにセキュリティ対策を促す 日商
- 「『英国一般データ保護規制(UK GDPR)』実務ハンドブック」を公表 JETRO
- グローバルCBPR(越境プライバシールール)システムの6月稼働に向けてガイドラインなどの文書を公開 グローバルCBPRフォーラム
- 事業者による個人情報漏えい事案は約1.6倍に、令和5年度「年次報告」を公開 個人情報保護委員会