update:2017.07.06
員と会談を実施し、日 EU 間の相互の円滑な個人データ移転を図る枠組み
構築の具体的方策等について確認したところである。
この会談を踏まえ、個人情報保護委員会としては、今後、欧州委員会の
日本に対する十分性認定に係る作業の進捗に併せて、来年前半を目標に
個人情報保護法第 24 条に基づく EU 加盟国の指定を行う可能性を視野に、
本年6月 16 日に個人情報保護委員会において決定した「個人情報保護法
第 24 条に係る委員会規則の方向性について」に基づき、今後委員会規則
の改正手続を進めていくこととする。
また、EU 加盟国については、EU の個人情報保護制度のみならず、その
制度の遵守態勢、執行態勢並びに相互の理解、連携及び協力の可能性等に
ついて確認していく必要があることから、引き続き、情報収集・調査を行
うとともに EU 加盟国の各データ保護機関等との対話を引き続き精力的に
行っていくこととする。"
個人情報保護委員会
https://www.ppc.go.jp/files/pdf/290704_enkatsuiten.pdf
に向けた取り組みとして個人情報保護委員会が欧州委員と会談を重ねている。
日本は、EUからは個人情報保護の十分な国となっていない。
OECDのプライバシーガイドラインをベースに個人情報保護法を作ったのだが、
日本の法制化の際には日本国民の意識や商慣習など様々な要素を考慮したうえで
大きく割愛してしまった。
かねてより、EUから日本の個人情報保護の改善をうながされていた。個人情報保護法の
改正施行によりEUに個人情報保護法のレベルアップを報告したのだと思われる。
個人情報保護法の改正により、個人情報保護委員会の設置や5000件未満問題の解決や
生体情報や個人識別に関する定義の明確化など改正がされた。が、まだまだOECDのプライバシー
ガイドラインへの対応ができていない箇所が多い。
GDPRは、EU域内の個人の権利を保護するために、日本でEUの個人情報を扱う場合には
同等の対策が必要となる。
プライバシーバイデザインによる事前の検討やリスクが大きいと予想される場合には、
プライバシー影響評価と対策を実施しなければならない。
クッキーでも情報収集時に同意を取得する。同意後のオプトアウトに応じるなど
プライバシーについての取り扱いや管理者を公表する説明責任がある。
流出などの情報侵害には72時間以内にEUの当局に報告しないといけない。
それができないとEUから最大で全世界売上の4%または2000万ユーロのいづれかの高い金額が制裁金となる。
国内のオンラインサービスでもEU居住者の利用が可能の場合は、上記の対応が必要となる。
国がオリンピックに外国人を誘致を希望しているが、EU居住者にサービスを提供する可能性がある企業は
注意が必要だ。