個人情報保護員会は12月6日、個人データの越境移転や海外法規制への対応に関して企業向けに実施した実態調査の結果をとりまとめ、公表しました。調査は2022年11～12月に実施され、有効回答数は66社でした。

それによると、海外居住者のデータを取得していた企業は全体の82％（54社）であり、データの越境移転を行っていた企業は全体の86％（57社）でした。データ越境移転は日本から他国への移転が98％（56社）、他国から日本への移転が84％（48社）、他国から他国への移転が64％（31社）でした。

日本から他国へデータを移転している企業のうち、「要配慮個人情報」を扱うのは26％（17社）、「匿名加工情報」を扱うのは3社（5%）、「個人関連情報」を扱うのは27％（18社）でした。例えば、治験や海外旅行保険サービス、航空サービスなどを提供する目的で顧客から要配慮個人情報を得て利用していました。

他方、移転影響評価（TIA）を実施している企業は35％（23社）に留まり、48％（32社）は実施していませんでした。実施しない理由は「リスクの高いデータ移転を行っていないため」、「代替手段を用いて評価しているため」、「実施のための知見やリソース不足のため」に大別されました。

EU圏内の国からEU圏外の他国へのデータ越境移転については、57％（38社）が行っていました。この際の法的根拠として最も多かったのは、「十分性認定」と「標準契約条項（SCC）」の併用であり、41％（27社）が実施していました。一方、十分性認定のみを根拠している企業は12％（8社）、十分性認定を根拠とすることができますが、SCCのみを根拠とすると回答した企業は9％（6社）でした。

このほか公表された資料では、DFFT（Data Free Flow with Trust）やグローバルCBPR（グローバル越境プライバシールール)の認知度や期待感などが取りまとめられています。