GDPRの十分性認定とは？日本企業への影響と求められる対応

2018年に施行され、世界中に影響を及ぼしたGDPR（EU一般データ保護規則）。

そのルールの一つに「十分性認定」と呼ばれるものがあります。日本も2019年に十分性認定を受けており、企業にとって無視できない内容が含まれています。

本記事では、GDPRの十分性認定とは何か、その影響と今後日本企業がとるべき対応についてご説明します。

1. GDPRの十分性認定とは？

GDPR（EU一般データ保護規則）は、2018年5月に施行された「EU域内の個人情報を守るための規則」です。EU域内のルールでありながら罰則は全世界に適用される可能性があります。また、違反時の制裁金が数十億円にものぼる（前年度の年間売上高（全世界）の4％以下、あるいは2,000万ユーロ以下の高い方）ことから、日本でも大きな話題となりました。プライバシー保護の必要性を、全世界の企業に強く認識させたきっかけともいうべき規則です。

十分性認定はそのGDPRのルールの一つで、「EU域内と同等の個人情報保護水準にある国だとする認定」を意味します。

GDPRでは、原則的にEU域外への個人データの持ち出し（移転）を認めていません。持ち出しには「越境移転規制」というルールをクリアする必要があります。

・十分な個人データ保護の保障

（欧州委員会がデータ移転先の国が十分なレベルの個人データ保護を保障していることを決定）

・BCR（Binding Corporate Rules：拘束的企業準則）の締結

（企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認）

・SCC（Standard Contractual Clauses：標準契約条項）の締結

（データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結）

・明確な本人同意

十分性認定を受けた国には、この越境移転規制が適用されません。つまり、煩雑な手続きなしでEU域内から個人データを持ち出せるようになり、当該国の企業は事務手続きの負担が大きく軽減されます。「EU域内からのデータの移転が簡単になる認定がGDPRの十分性認定である」と認識しておけば間違いないでしょう。

日本は2019年1月23日からGDPRの十分性認定を受けています。2019年1月の段階で日本以外に十分性認定を受けているのは、アルゼンチン、スイス、ニュージーランド、カナダ、イスラエルなど一部の国に限られます。

2. 十分性認定国の一覧

日本は2019年1月23日からGDPRの十分性認定を受けています。

日本以外の国だと、これまでに欧州委員会が適切なデータ保護を提供していると認定した国は以下の通りです（2022年9月12日時点、英語表記50音順）。

アンドラ
アルゼンチン
カナダ
フェロー諸島
ガーンジー
イスラエル
マン島
ジャージー
ニュージーランド
韓国
スイス
英国（GDPRとLED上でのみ有効）
ウルグアイ

参考：欧州委員会（European Commission）「EU非加盟国のデータ保護が適切なレベルにあるかどうかをEUが判断する方法（How the EU determines if a non-EU country has an adequate level of data protection）」（2022年9月12日時点）

上述した十分性認定国を除き、ほとんどの国への移転について新SCC締結が必要です。特に移転先が米国、中国、ロシア等の場合は注意が必要です。

新SCCについて、詳しくは以下の記事をご確認ください。
＞＞GDPRの新SCC（標準契約条項）とは？求められる対応と期限

3. 十分性認定を受けることでどのような影響があるのか

では、十分性認定によって日本企業にどのような影響があるのかを見ていきましょう。

3.1. BCR(拘束的企業準則)やSCC(標準契約条項)などの煩雑な手続きが不要に

前述のとおり、十分性認定を受けた国は越境移転規制の対象外となり、BCRやSCC、あるいは本人の同意取得などの煩雑な手続きが不要になります。多くの企業は個別で契約を結ぶ必要がなくなるため、各種手続きの負担やコストが大幅に削減されます。

ただし、十分性認定で免除されるのは越境移転規制（データの持ち出し）のみです。GDPRの適用対象となる企業（域外適応）は、変わらずGDPRに違反しないことが求められます。

またEU域内から日本へ移転したデータは、補完的ルールが適用されます。

「個人情報の保護に関する法律に係るEU域内及び英国から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール（通称：補完的ルール）」

補完的ルールは、GDPRと個人情報保護法の差異を埋めるために定められたルールです。個人情報保護法で行き届かない部分の保護を目的としているため、より厳格な内容が定義されています。具体的には、以下の項目です。

• 要配慮個人情報として扱うべきデータの追加
• 保有個人データの範囲の拡張
• 利用目的の特定と利用目的による制限
• 第三国（外国の第三者）への提供の制限
• 匿名加工情報の範囲の制限

特に第三国への提供には、移転先の国が十分性認定を受けている必要がある点に注意すべきです。受けていなければ、通常通りの個別契約か本人の同意が求められます。

「十分性認定はある程度データ移転における負担が軽減されるが、個人情報の保護が免除されるものではない」と覚えておきましょう。

3.2. 日本からEU域内へのデータ移転も手続きが減少

日本から外国へ個人データを持ち出す場合は、原則的に外国の事業者へ提供する旨の本人同意が必要です。しかし今回EUと日本で相互に十分性認定が認められたため、この同意は不要となりました。

ただしデータ移転先の事業者の状況次第で、これまでと同じく個人情報保護法が適用される点は変わりません。イメージとしては、国内の事業者がGDPRを守る必要があるケースと似た形です。

4. 日本企業は今度どのように対応するべきなのか

上述したとおり、十分性認定は越境移転規制が免除されるものであり、個人情報の保護自体は免除されません。十分性認定を受けているからと安心せず、自社の状況にあわせて個人情報保護法＋補完的ルールやGDPRの順守が求められます。

今後の日本企業の対応としては、GDPRを念頭に置いた「世界レベルの個人情報保護の枠組み」を整えていくことが大切です。

具体的には以下の対応が必要です。

• 個人データ収集時に同意を得る
• 保持している個人データの暗号化
• 保護違反時の72時間以内の通告
• データ保護責任者（DPO）を置く

2020年はCCPA（カリフォルニア州消費者プライバシー法）やLGPD（ブラジル個人情報保護法）が施行されるなど、「プライバシー保護」の流れが世界規模で強まった年でした。

そして、2021年も新たな動きが予想されます。すでにタイでPDPAというGDPRに似た法律の施行が予定されており、個人情報を守る機運はより高まると考えられます。「海外も意識した個人情報の保護」は、もはやほとんどの企業にとって当然の取り組みといえる存在となっています。

それぞれの法律によって求められる対応は少しずつ異なりますが、世界中でプライバシー保護の流れを強めたGDPRを基準に対策を進めることは、決して無駄ではありません。GDPR以後に成立したプライバシー関連の法律は、少なからずGDPRの影響を受けているためです。対策の詳細はGDPRの概要とともに以下で詳しく解説していますので、本記事とあわせてご参照ください。

＞＞GDPRとは？その定義と日本企業がとるべき対策をチェックしよう

なお、十分性認定は半永久的なものではなく、定期的な見直し（少なくとも4年ごと）が予定されています。将来的に日本の十分性認定が失われた場合どう対処するのか、一定の方策を検討しておくことも重要なリスクマネジメントとなりそうです。

5. まとめ

GDPRにおける「十分性認定」について、その概要や日本企業への影響、対応法などを解説しました。

十分性認定は、あくまでもデータの移転が容易になるもので、保護水準を下げられるわけではありません。莫大な制裁金といった重大なペナルティに巻き込まれないように、今後も「世界水準の個人情報保護の枠組み」を社内で整えることを怠らないようにしましょう。

公開日：2021年1月26日